
REP ^^^^6 I I Q U E 



•It 



F R A » C 




INSTtTUT 
NATIONAL DE 
LA PROPRIETE 
INDUSTRIELLE 



©9/089646 
/FROO / 02 7 1 5 



BREVET D'INVENTION 



CERTIFICAT D'UTILITE - CERTIFICAT D'ADDITiq 



Irec'd t 



D 0 9 NOV 2000 



POT 



COPIE OFFICIELLE 



Le Directeur general de I'lnstitut national de la propriete 
industrielle certifie que le document ci-annexe est la copie 
certifiee conforme d'une demande de titre de propriete 
industrielle deposee a I'lnstitut. 

Fait a Paris, le V. O...QCT.,..200p 



CERTIFIED COPY 01- 
PRIGRITY DOCUMENT 



Pour le Directeur general de I'lnstitut 
nationai de ia propriety industrielte 
Le Chef du Departement des brevets 




Martina PLANCHE 



IN STITUT 
NATIONAL DE 
LA PROPRIETE 
INDUSTRIELLE 



SIEGE 

26 bis. rue de Saint Petersbourg 
75800 PARIS Cddex 08 
Telephone : 01 53 04 53 04 
T<ilecopie : 01 42 93 59 30 



P 



Q 

Q 



<D 

9 



D8 267/250298 



ETABLISSEMENT PUBLIC NATIONAL CREE PAR LA LOI N 51-444 OU 19 AVRIL 1951 



THIS PAGE BLANK (usPTO, 



■ INSTITUT 
ftATIONAi DC 

INDUSTRICLtB 



# 



26 bis, rue de Saint Petersbourg 
75800 Paris Cedex 08 

Telephone : 01 53 04 53 04 T6l6copie : 01 42 93 59 30 
1— 1— R^servd k riNPI — 



BREVET D'INVENTION, CERTIFICAT D UTIUTE 

Code de la propri^te inteltectuelle-Uvre VI 

REQUtTE EN DtLIVRANCE 

Confirmation d'un d6pdt par t6l6copie Q 

Get imprimi est b remplir i i'encre noire en tettres capitales 



N» 55 -1328 



DATE DE REMISE DES PIECES 

N** D'ENREGISTREMENT NATIONAL 

DEPARTEM^1)Et*W'L 2000 

35 INPI RENNES 

DATE DE DEPOT 



OOOQG^«4 



2 OEMANDE Nature du tttre de proprfM6 bidustrieUe 

^ brevet d'invention □ demande dhrisionnaire 

□ certificatd'utillt* 



I I transfomiation d'une demande 

de brevet europien j — | 

^tabtissennent du rapport de recherche Q diff6r6 

Le demandeur. personne physique, requiert le paiement tehelonne de la 
Titre de I'inventlon (200 caractires maximum) 



1 NOM ET ADRESSE DU DEMANDEUR OU DU MANDATAIRE 

A QyUACORRESPONDANCE DOIT £!HE ADRESSte 

Tatrice VlDON 

Cabinet Patrice VTOON 

Immeuble Germanium 

80 avenue des Buttes de Coesmes 

35700 RENNES 



n^du pouvoir permanent \ r^fSrences du correspondant 1 t^l^phone 

6581 02l99.38.23.00 



brevet d'invention Q certificat d*utilite n" 

S8, inunddiat 

Q oul Q non 



Precede et systeme d'authentification dynamique 



3 DEMANDEUR (S) siren 

Nom et prenoms (souligner le nom patronymique) ou denomination 

1. FRANCE TELECOM 

2. TELEDIFFUSION DE FRANCE 

3. MathRiZK 

Fran9aise (1.2) Beige (3) 

NaUonaTitf M 
Adresse (s) complMe (s) 

^ 1. 6 place d'Alleray 
P 75015 PARIS 

2. 10, rue d'Oradour-sur-Glane 
75732 PARIS Cedex IS 



codeAPC-NAF 



Forme juridique 

Society Anonyme 

Societe Anonyme 

SPRL (Society de droit 
beige) 



Paiys 



3. Verte Voie, 20 - Boite 5 France (1,2) 

B-1348 LOUVAIN-LA-NEUVE 
Belgique Belgique (3) 



En cas d'insuffi&ance de place, poui^uivre sur papier fibre Q , 



4 INVENTEUR(S) Us inventeurs sont les demandeurs 



I I oui J^non Si la reponse est non. fournsr une designation separie 



5 REDUCTION DU TAUX DES REDEVANCES 



Q requise pour la lere fois requise anterieurement au d«p6t : joindre copie de la decision d'admission 



6 DECLARATION DE PRIORrTE OU REQUETE DU BENEFICE DE LA DATE DE D^PdT D'UNE DEMANDE ANT^IEURE 
pays d'origfne num6ro datedecMpOt 



nature de la demande 



France 
France 
France 



99 12465 
99 12467 
99 12468 



l*-^ octobre 1999 
1'"^ octbbre 1999 
1*"^ octobre 1999 



7 DIVISIONS 



anterieures d la presente demande n* 



date 



date 




SIGNATURE DU PROPOSE A LA RECEPTION SIGNATURE APRES ENREGISTREMENT DE LA DEMANDE A L1NPI 



THIS RAGE BUNK (USPTO) 



m • 



Description 

Les objectifs des seliemas GQ sont rauthentification dynamique d'entites et 
de messages ainsi que la signature numerique de messages, Ce sont des 
schemas « sans transfert de connaissance ». Une entite prouve : elle connait 
un ou plusiexirs nombres prives. Une autre entite controle : elle connait le 
ou les nombres publics correspondants. L'entite qui prouve veut convaincre 
Fentite qui contrSle sans reveler le ou les nombres prives, de fa^on a 
pouvoir les utiliser autant de fois que de besoin. 

Chaque schema GQ repose sur un module public compos6 de grands 
nombres premiers secrets. Un exposant public v et im modiile public n 
forment ensemble une cle de verification (v, /i) signifiant «elever k la 
puissance v modulo n » et mise en oeuvre au moyen d'une ou plusieurs 
equations generiques, toutes du meme type, direct : G= (mod n) ou 
inverse : Gxg" = 1 (mod n). Le type a un effet sur le deroulement des 
calculs au sein de Tentite qui controle, pas au sein de Tentite qui prouve ; en 
fait, les analyses de s6curite confondent les deux types. Chaque equation 
generique lie un nombre public G et un nombre prive Q formant ensemble 
\m couple de nombres {G,Q}. En r6sum6, chaque schema GQ met en 
oeuvre un ou plusieurs couples de nombres {G, Q} pour la m8me cl6 (v, n). 
Une version claissique de sch6nias GO> appelee ici GOK fait appel a un 
schema RSA de signature numerique. La cle de verification (v, n) est alors 
une cle publique RSA ou Texposant v impair est de preference xm nombre 
premier. Chaque schema GQl utilise en general un seul couple de nombres 
{GyQ} : le nombre public G est deduit de donnees d'identification selon un 
mecanisme de format qui fait partie integrante du schema RSA de signature 
numerique. Le nombre prive Q ou bien son inverse modulo n est une 
signature RSA des dorm^es tfidentification. L'entite qui prouve demontre la 
connaissance d'lme signature RSA de ses propres donn6es d*identification et 
cette preuve ne revele pas la signature qui reste done secrete pour etre 



utilisee autant de fois que de besoin. 

Les schemas GQl mettent generalement en ceuvre deux niveaux de cl6s : la 
cle privee de signature RSA est reservee a une autorit6 accreditant des 
entit6s se distinguant les unes des autres par des donn^es d'identification. 
On dit qu'un tel schema est «base sur ridentite». Ainsi, un emetteur de 
cartes k puce utilise sa cle priv6e RSA h remission de chaque carte pour 
calculer un nombre prive Q qu'il inscrit comme cl6 priv6e diversifide dans 
la carte ; ou encore, un cHent sur un reseau d'ordinateurs utiUse sa cle priv^ 
RSA a chaque entree en session pour calculer un nombre priv6 g qui sera la 
cle privee ephemere du client durant la session. Les entit^s qui prouvent, 
cartes k puce ou clients en session, connaissent une signature RSA de leurs 
donnees d'identification ; elles ne connaissent pas la cle privee RSA qui, 
dans la hierarchic des cles, se trouve au niveau inmiediatement superieur. 
Cependant, une authentification dynamique d'entites par GQl avec un 
module de 768 bits au niveau dhme autorit6 demande a peu prds la meme 
charge de travail qu"une authentification dynamique d'entites par RSA avec 
un module de 512 bits k trois facteurs premiers au niveau de chaque entite, 
ce qui permet k rentit6 qui prouve d'utiliser la technique des restes chinois 
en calculant un resultat modulo chacun des facteurs premiers avant de 
calculer un resultat modulo leiu: produit. 

Toutefois, la hierarchic de cles entre une autorit6 et les entites accr6dit6es 
n'est pas obligatoire. On peut utUiser GQl avec un module propre k I'entit^ 
qui prouve, ce qui permet d'utiUser la technique des restes chinois pour 
r^duire les charges de travail de I'entite qui prouve, ce qui ne change pas 
fondamentalement la charge de travail de I'entite qui controle, mis a part le 
fait qu'mi module au niveau de I'entite qui prouve peut atre plus court qu'un 
module au niveau-de rautOHt6„par exemple^§12 l^tesGomp^^s a 768 bits. 
Lorsque I'entite connait les fecteurs premiers de son propre module, 
pourquoi faire appel a un schema RSA de signature num6rique ?? 



Une autre version de schemas GO. appelee ici 002 el^entaire. fait appel 
directement au probldme de la factorisatr6n dHrn module n. Dans ce 
contexte, « directement » signifie « sans faire appel ^ la signature RSA ». 
L'objectif de GQ2 est bien de r6duire les charges de travail, non seulement 
de I'entite qui prouve mais aussi de I'entite qui contrSle. L'entite qui prouve 
d6montre la connaissance d'lme decomposition de son propre module et 
cette preuve ne r6v61e pas la decomposition qui reste done secrete pour 6tre 
utilisee autant de fois que de besoin. La seciuit6 du protocole GQ2 est 
6quivalente k la fectorisation du module. 

Chaque entit6 qui prouve dispose de son propre module n. Chaque sch6ma 
GQ2 met en oeuvre im parametre k, petit nombre plus grand que 1 fixant un 
exposant public v= 2*, et un ou plusieurs couples de nombres {<j„S,} i 
QJ. Chaque nombre public G, est le carre d'xm petit nombre g, pliis 
grand que 1 et appel6 « nombre de base ». Toutes les entites qui prouvent 
peuvent utiliser le ou les m6mes nombres publics G, a G„. La factorisation 
du module n et le ou les nombres priv6s a Q„ sont alors au mdme niveau 
dans la hi6rarchie des rife; rhag ue ieu de cl6s 002 616mentaires est ddfini 
par deux conditions necessaires et sufSsantes. 

- Pour chaque nombre de base, aucime des deux Equations :^ = ±g, (mod n) 
n'a de solution en x dans I'anneau des entiers modulo n, c'est-^-dire que les 
nombres ±g, sont dexix residus non quadratiques modulo n. 
-Pom- chaque nombre de base, I'equation x" = (mod n) ou v = 2* a des 
solutions en x dans I'anneau des entiers modulo n. Le nombre priv6 Q, ou 
son inverse modvdo n est n'importe laqueUe de ces solutions. 
Compte tenu de la deuxi^e condition, pour que les nombres ±g, soient 
deux r6sidus non quadratiques modulo n, le module n doit comporter au 
moins deux factexirs premiers congrus a 3 (mod 4) par rapport auxquels le 
symbole de Legendre de g, difE^re. Par consequent, tout module compost de 
facteurs premiers dent aucun ou un seul est congru a 3 (mod 4) ne permet 



pas d'etablir un jeu de cl6s GQ2 616mentaires, ce qui privilegie les facteurs 
premiers congrus h 3 (mod 4). Or en prenant au hasard-des grands nombres 
premiers, il s'avere qu'ils sent environ pour moiti6 congrus 3 (mod 4) et 
pour moitie a 1 (mod 4). De ce fait, beaucoup de modules RSA en usage ne 
permettentpas d'6tablir desjeux.de cles GQ2 elementaires. 
Nous introduisnns ici les ^eux de cles G02 eeneralisees pour surmonter 
cette limitation afin de pouvoir utiliser des techniques GQ2 avec n'importe 
quel module, en particulier, n'importe quel module RSA ; ils reposent sur 
deux principes n6cessaircs et suffisants. 

T .p. premier principe reproduit la deuxieme condition de GQ2 616mentaire. 
— Pour chaque nombre de base g^ k I'^quation x'sgf (mod n) ou 
V = 2* a des solutions en x dans I'anneau des entiers modulo n. 
Faroe que le nombre prive Q, ou bien son inverse modulo n est une solution 
a r6quation, k-1 carr6s successifs modulo n le transforment en un nombre q, 
qui est une racine earr6e de G, dans Tanneau des entiers modulo n. Selon 
que le nombre q, est €galM I'un des deux nombres ou n-g„ ou different 
des deux nombres g, et n-g„ nous disons qu'il est trivial ou non. Lorsqu'un 
nombre q, est non trivial, n qui divise qf-g^ ne divise ni qrg, ni q,+gr Tout 
nombre q, non trivial i6v61e done une decomposition du module n. 

n = pgcd(fi, 9r&)xpgcd("' ^i^S} 
T r ^Piixieme Principe elargit la premiere condition de GQ2 616mentaire. 

Parmi les nombres q, a q„, au moins un nombre est non trivial. 

Observons que si un nombre q, existe alors que les nombres ±g, sont deux 
r^sidus non quadratiques dans I'anneau des entiers modulo n, le nombre q, 
est manifestement non trivial. Ainsi, les jeux de cles GQ2 elementaires font 
bien partie -.des^jeuxxde ^les GQ2 gen^ralisees qui permettent d'utiUser 
n'importe>^quel mod^e^. c'est-^i-dire toute composition de grands nombres 
premiers congrus indifferemment ^ 3 ou a 1 (mod 4) dont au moins deux 
sont distincts. Par contre, beaucoup de jeux de cl6s GQ2 g6neralis6es ne 



sont pas des jeux de cles GQ2 elementaires. Chaque jeu de cl6s GQ2 
generalisees est dans run des deux cas suivants. 

- Lorsque les 2xm nombres ±g, k ±g^ sont tons des r^sidus non 

quadratiques, c'estm jeu de cles GQ2 elementaires. 
. Lorsque parmi les 2xm nombres ±g^ a ±g„^ il y a au moins im residu 
quadratique, ce n'est pas un jeu de cles GQ2 elementaires; c'est ce que 
nous appelons ici un jeu de cles GQ2 complementaires. 
La pr6sente invention porte sur les ieux de cles G02 comt)16mentaires . par 
definition, ces jeux de cles GQ2 generalis6es qui ne sont pas Elementaires, 
Outre les deux principes precedents, un tel jeu doit satisfaire un troisieme 
principe. 

— Parmi les 2xm nombres ±g^ a ±g„, il y a au moins un residu quadratique. 
Poxir apprehender le probleme et comprendre la solution que nous en 
donnons, c'est-k-dire Tinvention, analysons d'abord la decomposition du 
module n rev61ee par xm nombre q non trivial, puis rappelons la technique 
des restes chinois, puis, la notion de rang dans im corps de Galois CG(p) ; 
puis, etudions les fonctions « 61ever au carre » dans CG(p) et « prendre une 
racine carree» d'un r6sidu quadratique dans CG(p); enfin, analysons 
I'applicabilite des trois principes enonc6s ci-dessus. 

Analyse des decompositions du module — De meme que le module n se 
decompose en/ facteurs premiers a Pj, Tanneau des entiers modxilo n se 
decompose en/corps de Galois CG(p,) a CG(p). Dans chaque corps, il y a 
deux racines carrees de Tunite, a savoir ±1. Dans Tanneau, il y a done 2f 
racines carrees de I'lmite, Chaque nombre prive a definit un nombre 
^ = ^ / (mod n) qui est une de ces 2f racines carrees de Tunite dans 
I'anneau ; en d'autres termes, n divise A,^-l . 

• Lorsque q. est trivial, c'est-^-dire A. = ±1, n divise A-1 ou bien A^+1 et 
done A, ne revele pas de d6composition du module n. 

• Lorsque q. est non trivial, c'est-i-dire A, 9^ ±1, « ne divise ni Ar-l ni A^+1 



et done A, r6v61e une decomposition, n = pgcd(/i, A-l)xpgcd(«, A,+l), 
resultant de la valeur de A. dans chaque corps : le ou Ics facteurs premiers 
divisant Aj-l d'unc6tey Celui.ouceuxdivisant A,+l de l'autre. 
Examinons les regies de composition multiplicative des nombres q. Deux 
nombres q^} donnent un nombre compost ^,x^j (mod n). 

- Lorsque 9, est non trivial et trivial, le nombre compose q{Xq^ (mod n) 
est non trivial ; il rcvele la meme decomposition que q^. 

- Lorsque et q^ sont non tiiviaux et A, = ±Aj, le nombre compost q^xq^ 
(mod n) est trivial ; il ne r6vele pas de decomposition. 

- Lorsque et q^ sont non triviaux et A, ±Aj, le nombre compose q^xq^ 
(mod n) est non trivial ; il revele une troisieme decomposition. 

Trois nombres {^p^j'^s) donnent^:quatre nombres composes {g,xgj, ^1X^3, 
q^i^'Sm^i (mod «)>, soit unjtotal de? sept nombres v w nombres donnent 
ainsi 2'"^/w-'l~nombres-Gomp©ses^soit un totakde^"-! nombres. 
Coiisiderom unjeu!«de«©ies-©Q2'€eiaeml.isees«eomportaaferi nombres de base 

^, 8, ^ 'i nombres^rives-^.ili 0, donnant / nombres- g, a q, et done i 
nombres -A, i A, qui sont-des^ia©inest,de4'unitet 'Chfcrchons'?-^ prendre en 
compte un autre nombre de base g^, par un nombre prive g^, donnant un 
nombre gr,.,, et done une racine A^,. 

• Le total des 2'"'-l nombres comporte autant de nombres non tiiviaux dans 
chacun des deux cas suivants. 

- La racine A^, est triviale et au moins une racine A, k A, est non triviale. 

- La racine A^, est non triviale et figure parmi les 2xi racines ±A, a ±A,. 

• Danssle cas ou la lacine A^, est non tiiviale et ne figure pas parmi les 2xi 
racines ±A, a ±A^ chaque nombre compose ou figure g^, est non tivial. 
Par..consequent, lorsque parmi m nombres a aun^m©^ un est non 
trivial, plus de-la moitie-du^tota^^es^Vl nom^sgstspntmpmt©^^ 

Par definition, nous disons que / </ nombres non tiiviaux {9„?2, q^ 
sont inde pendants par rapport au module n lorsque chacun des 2-/-1 
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nombres composes correspondants est non trivial, c'est-a-dire que, aa total, 
les 2-1 nombres sont tous non triviaux. Chacun de ces 2-1 nombres revele 
alors una decomposition differente du module n. 

- Lorsque les / facteurs premiers sont distincts, il y a 2^—1 decompositions 
du module n. Alors, si /-I nombres q sont independants, il y a xme 
correspondance biimivoque entre les 2^—1 decompositions et xm total de 
2^'— 1 nombres comprenant les f-l nombres Lnd^pendants . et les 2^*-/ 
nombres composes correspondants. 

Restes chinois — Soient deux nombres attb premiers entre eux tels que 
Q<a<b^ et deux nombres JT^ de 0 a-l et Jf^ de 0 a fe-1 ; il s'agit de 
determiner le nombre unique X de 0 a axfr-l tel que s AT (mod a) et 
a; = X(mod b). Le nombre a s (mod a)}'^ (mod a) est le paramtoe des 
restes chiaois. Voici T operation elementaire des restes chinois. 
x^X^imodd) 

y = X-x ; si y est negatif, remplacer >^ par yra 

z = Otxy (mod a) 

X^T^b-^X^ 

En resume, nous ecrivons : X^ Restes Chinois {X^^X^. 
Lorsque/facteurs premiers sont ranges dans I'ordre croissant, du plus petit 
au plus grand Pj, les parametres des restes chinois peuvent etre les 
suivants (il y en a un de moins que de facteurs premiers, c'est-i-dire/-l). 

- Le premier parametre est a = (p^ (modpi))"* (modjt?,). 

- Le second parametre est p = ip^^Pt {modpj)'^ {modp^. 

- Le /-ieme parametre est X = (p^x . . . p^^ (mod p))'^ (mod/?,). 

- Et ainsi de suite. 

En /-I operations elementaires, on etablit un nombre X de 0 a n-1 a partir 
de tout jeu de / composantes de X^ a ^ avec ^ de 0 a pj-l : 

- un premier resultat (mod p^>^^ avec le premier paramdtre, 

- puis, un second resultat (mod p^xp:^p^ avec le second parametre. 
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- jusqu'au r6sultat final (mod n = p^xp^ • . • P,) avec le dernier paramdtre. 
En resume, etant donn6s les facteurs premiers a pj, chaque 616ment de 
I'anneau des entiers modulo n a deux representations equivalentes : 
_ /nombres X, kX^, une composante par facteur premier : X.=X(modp), 

- xm nombre ATde 0 ^ n-1, X= Restes Chinois (X„ X^,... X), 
Rang des nombres dans CG(p) — Soit un nombre premier impair /? et un 
nombre a plus petit que p, c'est-i-dire 0 < a <j3. Par definition, le rang de a 
par rapport p est la p6riode de la suite {X) d^finie par {x, = a ; puis, pour 

1, jc^, s axx, (mod p)}. Grace au theoreme de Fermat, nous obtenons : 
X s cfxx = axx, s x^, (mod p). Par consequent, le rang d'un nombre a par 
rapport k un nombre premier p estp-\ ou un diviseur dep-1. 
Par exemple, lorsque (p-l)/2 est un nombre premier impair/? ', le corps de 
Galois CG(p) comporte un nombre de rang 1 : c'est 1, un nombre de rang 
2 : c'est -1, p -1 nombres de rang p ' tip -1 nombres de rang 2>^ ' =p-l . 
Dans CG(p), tout nombre de rang p-\ est un « g&ierateur ». La denomi- 
nation est due au feit que les puissances successives d'un g6n6rateur dans 
CG(p), c'est-Jl-dire les termes de la suite {X) pour les indices d&\kp-\, 
forment une permutation de tous les elements non nuls de CG(p). 
Soit un gen^rateur de CG(p). Evaluons le rang du nombre y' (mod/?) en 
fonction de / et de p-\. Lorsque i est premier avecp-1, c'estp-1. Lorsque i 
divisep-1, c'est (p-\)li- Dans tous les cas, c'est (p-l)/pgcd(p-l, /). 
Par definition, la fonction d'Euler (p(n) est le nombre de nombres plus petits 
que n et premiers avec n. Dans CG(p), il y a (p(p-l) gen^rateurs. 
A titre d'illusti^tion, le rang fait bien comprendre les bases du RSA. Le 
25 module n est le produit de/facteurs premiers^, ai7,ave©f >''2. Pour chaque 

facteur premier Pj de p, a I'exposant pubUc e doit 6tre premier avec p-\ . 
Mors, la cle {e,p) respecte le rang des 616ments de CG{p) : elle permute les 
elements de CGip) ; il existe un nombre d^, g6neralement le plus petit 
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possible, tel que pj-l divise exd-l. La cl6 {dj,p) inverse la permutation des 
elements de CG(p). Ces / peraiutations, une dans chaque corps CG(p^) a 
CG(p), se traduisent dans Taimeau des entiers modulo n par la permutation 
RSA resumee par la cle publique {e, n). II existe un nombre d, gen^ralement 
le plus petit possible, tel que ppcm(p,-l, /^j— 1, ... pjr-l) divise Pour 
chaque facteur premier p^. de p^ a /t^ on a d. = d (mod p-l)- La permutation 
RSA resumte par la cle publique (e, n) est inversee par la cle privee {d, n). 
Carres dans CG(p) — Definissons un nombre t tel que p-1 est divisible 
par 2', mais pas par Chaque grand nombre premier figure dans xme et 
une seiile categoric: r = 2, / = 3, / = 4, et ainst de suite. Si Ton 

considere un assez grand nombre de nombres premiers successife, environ 
un sur deux figure dans la premiere categoric ou p est congru k 3 (mod 4), 
un sxu* quatre dans la deuxieme ou p est congm a 5 (mod 8), un sur huit 
dans la troisieme ou p est congm a 9 (mod 16), xm sur seize dans la 
quatrieme ou p est congm a 17 (mod 32), et ainsi de suite ; en moyerme, un 
sur 2' figure dans la Meme categoric ou p est congru a 2'+l (mod 2^*). 
Parce que les nombres x et p-x ont le meme carre dans CG(p), la cle (2,/?) 
ne permute pas CG(p). La fonction « Clever au carr6 » dans CG(p) pent se 
representer par un graphe oriente ou chaque 616ment non nul du corps 
trouve sa place. Analysons la structure du graphe en branches et en cycles 
selon la parite du rang de chaque element. 

- Uelement nul est fixe . Cest 0. Le rang n'est pas defini pour I'^lement 
nul auquel aucun autre element ne se rattache ; Telement nul est isole. 

- L'element unite est fixe . Cest 1, le seul element de rang 1. Toutes les 
racines de Tunite dans CG(p) se trouvent dans la branche se rattachant a 
1. Soitj^ un residu non quadratique de CG(p), n'importe lequel ; la cle 
{(p^iy2\p) transforme y en une racine 2'"*-ieme primitive de -1 notee 
par 6 ; en effet, on a y^'^=-l (mod p). Par consequent, dans CG(p), 
les puissances de b pour les exposants de 1 a 2'"* sont les 2*"* racines de 
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runite autres que 1 : elles composent la branche se rattachant a 1. 
Le carre de tout element de rang pair est un autre eleme nt dont le rang 
fisfr.divise par deux . Par consequent, chaque element de rang pair se 
place dans une branche ; chaque branche comporte un nombre de rang 
divisible par deux mais pas par quatre, puis, si ^ > 2, deux nombres de 
rang divisible par quatre mais pas par huit, puis, si f ^ 3, quatre 
nombres de rang divisible par huit mais pas par seize, puis, sit ^4, huit 
nombres de rang divisible par seize mais pas par 32, et ainsi de suite. 
Toutes les branches sont semblables k la branche rattach6e i 1 ; les 2^' 
feuilles de chaque branche sont des r^sidus non quadratiques ; chaque 
branche comporte 2-1 616ments et se rattache h un 616ment de rang 
impair ; il y a (p-l)/2' branches qui ont"toutes4a m6me longueur L 
_ T.e carre-de tout element de rang impa ir autre que l'^1<^ment unit6 est un 
mitre Element pvanMe rngme^g O^a cle^,/>> permute ensemble des 
(p-i)/2f 616ments«^de, rang- impair; La permutation^ se decompose en 
cycles de permutation. Le nombre-de cycles depend dda factorisation 
de (p-m'. Pour chaque-diviseur p' de^(p^l)/2'. il y a un cycle 
comportant les cpCpO elements de rang/?'. Rappelons que par definition, 
la fonction d'Euler <p(p') est le nombre de nombres plus petits que p' et 
premiers avec p'. Par exemple lorsque/>'= (p-l)/!' est premier, lesp'-l 
nombres de rangp' forment un grand cycle de permutation. 
Les figures lA a ID iUustrent chacune un fragment de graphe pour p 
congru respectivement a 3 (mod 4), 5 (mod 8), 9 (mod 16) et 17 (mod 32). 
Les feuilles^sur les branches sont representees par des ronds blancs ; 
ce sont des r&idus non quadratiques. 

Les^noeuds^dans les^bianchesssont represent^s par des ronds gris ; ce 
sont des'^l^en|s»4txiadraiijpie^<iefmg:pat^ 

Les noBuds dans les cycles sont repr6sentes par des ronds noirs ; ce 
sont des elements quadratiques de rang impair. 




Racines carrees dans CG(p) — Sachant que a est im r6sidu quadratique de 
CG(p), voyons comment calculer ime solution a I'equation ^ a (mod pX 
c'est-a-dire « prendre ime racine carree» dans CG(p). II y a bien sur 
plusieurs fa9ons d'obtenir le meme r^sultat : on pourra consulter les pages 
31 a 36 du livre de Henri Cohen, a Course in Computational Algebraic 
Number Theory, public en 1993 par Springer a Berlin comme volume 138 
de la serie Graduate Texts in Mathematics (GTM 138), 
Le nombre s = (p-1+20/2^' donne ime cle {s^p) qui vaut : 

((p+l)/4,/>) lorsque p est congm k 3 (mod 4), 

<(p-h3)/8, p) lorsque p est congra a 5 (mod 8), 

{{p^l)l\6,p) lorsque p est congm a 9 (mod 16), 

<(fH-l 5)/32, p) lorsque p est congra a 17 (mod 32), 

et ainsi de suite. 

- La cle is.p) transforme tout element d'un cycle en Telement precedent 
dans le cycle, Lorsque a est de rang impair, c'est la solution de rang impair ; 
nous la nommons w. En effet, dans CG(p), w^la vaut a eleve a la puissance 
(2x(^l+2y2''Vl = ip-iy2'. L'autre solution est de rang pair ; desXp-w. 

- D'une maniere generale, la cl6 {s^p) transforme tout r6sidu quadratique a 
en une premiere approximation de solution que nous nommons r. Puisque a 
est im residu quadratique, la cl6 {2''\p) transforme certainement r/a en 1. 
Pour se rapprocher d'lme racine carree de a, elevons rVa a la puissance 2^^ 
(mod p) pour obtenir +1 ou -1. La nouvelle approximation reste r si le 
resultat est +1 ou bien devient bxr (mod p) si le resultat est -1, sachant que 
b designe n'importe quelle racine 2'-ieme primitive de 1 dans le corps 
CG(p). Par consequent, la cle il^^yp) transforme la nouvelle approximation 
en 1. On peut encore se rapprocher en utilisant la cl6 {Z^^^p) et en 
multipliant par b^ (mod p) s'il le faut, et ainsi de suite. 

L'algorithme suivant resout Tequation. II utilise les nombres a, fc, p, r ott 
definis ci-dessus et deux variables : c repr6sente les corrections successives 



et w les approximations successives. Au debut de I'algorithme, c = b et 
w = r.A Tissue du calcul, les deux solutions sont w etp-w. 
Pour I allant de t-2 h 1, repeter la sequence suivante : 

- Appliquer la cl6 <2', p) au nombre wVa (mod p) pour obtenif +1 ou -1 . 

- Lorsque Ton obtient -1 , remplacer w par wxc (mod/?). 

- Remplacer c par (modp). 

AppUcabmt6 des principes — Par definition, nous disons qu'un parametre 
k, un nombre de base ^ et un facteur premier p sont compatibles lorsque 
l'6quation x" s (mod p) ot I'exposant v vaut 2* a des solutions en x dans le 
corps CG(p). Les nombres ketg sont petits et plus grands que 1 . Le nombre 
p est un grand nombre premier. 

- Lorsque t=l, c'est-a-dire p = 3 (mod 4), I'^quation a dom. solutions. 

- Lorsque t = 2, c'est-a-dire p = 5 (mod 8), selon le symbole de Legendre de 
g par rapport k p, I'equation a quatre solutions si (g|p) = +1 ; elle n'a pas de 
solution si (g|pi) = -1 . 

- Lorsque / > 2, c'est-i-dire p s 1 (mod 8), soit u le nombre tel que 2" divise 
le rang du nombre pubUc G^iv^ rapport kp, mais que 2"^' ne le divise 
pas ; par consequent, u est 6gal k I'un des nombres de 0 ^ Uequation n'a 
aucune solution si « > 0 et AHi<> r ; eUe a 2* solutions sihMi<t\ elle a 2' 
solutions si M = 0 et ^ > 

II y a done deux types de compatibilite selon que G est dans un cycle ou 

bien en position appropriee dans ime branche. 

Lorsque G est dans un cycle, c'est-a-dire m = 0 quelle que soit la valeur 
de ik, il y a une solution de rang impair dans le cycle et des solutions 
de rang pair disseminees dans a = min(^, 0 branches consecutives 
rattachtes^au cycle, soit 2" solutions en tout. La figure 2 A illustre ce 
cas avec *^ r= 3^, c'est^^t-dirq^ fectgip premi^K^epngniiRa 9 (mod 16), 
ce qui impose « = 0. 

Lorsque G est en position appropriee dans une branche, c'est-^-dire 
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w > 0 et u+k < il y a 2* solutions, toutes de rang pair et dans la 
— ^ branche. La figure 2B illustre ce cas. 

Etant donne un paramdtre A:, il y a done deux types de facteurs premiers 
selon que la valeur de t est inferieure a ^ ou bien sup^rieure ou egale a k. 
Pour tout facteur premier p. tel que t < k, chaque G. doit etre dans un 
cycle et il n'y a pas de solution dans la branche rattachee a G^. 
D^finissons un nombre qui vaut +1 ou — 1 selon que. ou —g. est 
dans le cycle. II n'y a pas de choix pour aucim des m nombres A,^ a A^. 
La figure 3 A illustre im cas / < A: : G. est dans un cycle avec un facteur 
premier Pj congm a 9 (mod 1 6), c'est-a-dire, m = 0, r = 3 avec k>3. 
Pour tout facteur premier pj tel que t > chaque G^ doit etre tel que 
u-^k<t, c'est-a-dire, ou bien dans un cycle avec m = 0 ou bien en 
position appropriee dans xme branche avec 1 < w < t-k. Definissons un 
nombre A.^. qui vaut +1 ou -1 selon que Q.^ se trouve dans la partie de 
graphe rattachee k ou a -g,. II y a le choix pour chacun des m 
nombres Aj^. a A^ ; chaque nombre A^^. peut etre individuellement 
bascvile d'une valeur h Tautre. La figure 3B illustre un cas f > A: : est 
dans une branche avec un facteur premier Pj congm a 17 (mod 32), 
c'est-i-dire, m = 1 , f = 4 avec A: = 3. 
Chaque jeu de/composantes {A,, ... A^^} est une racine carree de IWit^ 
dans CG(pj). Cette racine est triviale ou pas selon que les / composantes 
sont egales ou pas ; nous disons alors que le jeu de / composantes est 
constant ou variable, ce qui traduit le fait que le nombre est trivial ou pas. 
Par consequent, lorsqu'im nombre q. est non trivial, le jeu de /composantes 
{A^i ... A^} resiraie une decomposition du module. II est done possible de 
tester les principes avant de calculer les composantes privees Q^.. 

- Lorsqu'un nombre public G. est dans un cycle pour un facteur prenuer 
p., le nombre A^ vaut +1 ou -1 selon que g. ou -g, est dans le cycle. 
Lorsque p. = 3 (mod 4), c'est le symbole de Legendre : A^ = (g,\p). 
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- LorsquVm nombre public G, est en position appropriee dans une 
branche pour un facteur premier Pj, on pent daerminer la valeur a doimer 
a A . avant de calculer la composante privee Q,j. 

Production de jeux de eles — Etant donne un parametre^^, il y a deux 

strategies. 

- Ou bien le g6nerateur demande/facteurs premiers afm de daerminer m 
nombres de base. Les premiers nombres premiers : 2, 3, 5, 7, ... sont 
examines pour 6valuer leur compatibiUt6 avec chacun des / grands 
facteurs premiers p, i Pj. Bien que g = 2 ne soit pas compatible avec 
p = 5 (mod 8), 2 peut entrer dans la composition dhm nombre de base. 
En effet, lorsque deux nombres sont en position sinulaire dans une 
branche, leur produit est- plus pres du cycle, tout comme un carr6 
rapproche du cycle. On peut ainsi obtenir un nombre de base en 
composant des nombres qui individuellement ne eonviennent pas. 

- Ou bien le g6n6rateiH? demande m nombres de base et des caract6ris- 
tiques^du module telle quWe taille en bits (par exemple, 512, 768, 
1024, 1536, 2048) et un nombre de bits successifs ii 1 en poids forts 
(par exemple, 1, 8, 16, 24, 32) afin de determiner / ^ 2 facteurs 
premiers. Notes par ... les nombres de base figurent 
g6n6ralement paimi les premiers nombres premiers : 2, 3, 5, 7, 11, ... 
ou bien ce sont des combinaisons des premiers nombres premiers. Faute 
d'indication contraire, ce sont les m premiers nombres premiers : g, = 2, 
g^='i^g^ = 5,g^ = l, ... Notons que p = 5 (mod 8) n'est pas compatible 
avec g = 2. Le module n sera le produit de/facteurs premiers de tallies 
voisines, i savoir la taille assignee au module divis6e par/. 

Prem/er prmcipe— -Leparametre fe, chaque facteur premier allant dep, a 
et chaqwe.»oimbre-deifease*g de g, | g„ doivent eti« compatibles. 
D6finissons un nombre h tel que 2* divise le rang de g par rapport h.p, alors 
que 2**' ne le divise pas. Pour calculer le nombre K la procedure suivante 
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utilise le symbole de Legendre ig\p) et un nombre fe, racine 2-ieme 
primitive de Timite dans GG(/7). 

- Si (g\p) == +1 avec / = 1, retoumer« A = 0 ». 

- Si (g\p) = +1 avec ^ > 1, appliquer la cle {(p-l-hiyX^^p) a G poiir obtenir 
un resultat appele w. 

Si w = 4-^, retoumer «h — 0 ». 

Si w = p—g^ retoumer «h=l». 

Sinon, mettre c a i et pour / allant de f-1 a 2, 

- appliquer la cle <2', p) a w/^ (mod /?) pour obtenir ±1 , 

- si -1, mettre hkiet remplacer w par wxc (mod /?), 

- remplacer c par (mod 
Retoumer « valeur de A de 2 a 1 ». 

- Si (g\p) = -1, retoumer iih^^t ». 

Rappelons que k, g otp sont incompatibles lorsque u> 0 avec k^u > / ; ils 
sont compatibles lorsque A = 0 ou 1, quelle que soit la valeur de A:, et 
6galement lorsque h>l avec k^h < 1 . 

Second principe — Les trois procedures suivantes correspondent a differen- 
tes implementations du second principe. Dans certaines implementations, le 
second principe pent etre renforce au point tf exiger que chaque nombre a 
soit non trivial. Le rdle des nombres de base est alors equilibr6 ; le fait 
d'equilibrer ou pas le second principe a un effet sur certains aspects de 
demonstration de la securite du schema. Enfin, lorsqu'il y a/> 2 facteurs 
premiers distincts, parmi les m nombres {q^... qj, on pent exiger qu'il y ait 
au moins un sous ensemble de/-l nombres independants. 
Les trois procedures utilisent rrixf nombres 5,^. definis comme suit. 

Lorsque Pj est tel que t<k^ pour / allant de lam, 5.^ = A^, c'est-a«dire 

+1 si /iy = Oet-l si h.,^\. 

- Lorsque p. est tel que t>k, pour i allant de 1 a m, 5.^. = 0, ce qui indique 
que A . a A . peuvent etre choisis en fonction du deuxieme principe. 
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Une premiere procedure verifie qu'au moins un jeu {5^, ... 5^^} est variable 
ou nul, c'est-a-dire qu'au moins un nraibre h. q„ est non trivial ou peut 
etre choisi non trivial. 

Pour i allant de 1 ^ m et j allant de 1 a/, 

- si 5y = 0 ou 6^„ retoumer « succes ». 
Retoumer « 6chec ». 

TJne deuxieme procedure verifie que chaque jeu {5,, ... 5^^ est variable ou 
nul, c'est-^-dire que chaque nombre a q„ est non trivial ou peut dtre choisi 
non trivial. 

Pour / allant de 1 m, 
pour J allant de 1 kf, 

_ si 0 ove^ 5, „ passer, i la valeu» suivante de L 

- . RetouimeE*« echeQ?^. 
Retoumer*« su6jees»»*«* 

TTnetroisidme.prQ<5edtu5efe verifie*que^po^^^^ 

p,,iet/yavec l <y, <j\.'^f, il y a ammoins unjeu {5„i ... 5^ ou 5^, est mil 
ou diff^ftot de SyjvP^e^^houe^maaifestement-lorsque Jw est? plus petit que 
f-\, Lorsqu'elle reussit, parmi les m nombres g, k il y a au moins un 
ensemble de f-\ nombres ind^pendants par rapport aux/facteurs premiers. 
Pour y, allant de 1 JI/-1 et poury^ allant de/.+l kf, 
pour I allant de 1 a m, 

_ si 5^^^ = 0 ou 9t 5,^,, passer aux valeurs suivantes de/, etjV 

Retoumer « echec ». 
Retoumer « sucees ». 
Lorsqu'une proc6dure echoue, le generateur de jeux de cl6s GQ2 suit sa 
strat6gie parmi lesfdeim strategies possibles : 

- ch^ger.?l?un d€%?n^nQimligig.Sj4e*^^^^^^ 

- changer I'un des/facteurs premiers en gardant les m nombres de base. 
Troisieme principe — La procedure suivante ddtermine si le jeu de cl6s 



GQ2 generalisees en cours de production ou d6ja produit est 

im jeu de cles GQ2 616mentaires, c'est-a-dke que les 2xm nombres 
±g^ a ±g^ sont tous des residus non quadratiques, 
ou bien, un jeu de cles GQ2 complementaires, c'est-a-dire que parmi 
les 2xm nombres ±g^ a ±g„, il y a au moins un residu quadratique. 

La procedxire utilise les deux symboles de Legendre (g^ \p) et (rg, Ip) pour 

zallantde 1 i tw et pourj allant de I kf. 
Pour I allant del km, 
pour j allant de 1 kf, 

- ^^iSi\ P) ^ "1 > passer k la valeur suivante de i . 
Retoumer « jeu de cles GQ2 complementaires ». 
pour j allant de 1 a^ 

- si irgi I ;?y) = -1 5 passer a la valeur suivante de /. 
Retoumer « jeu de cles GQ2 complementaires ». 

Retoumer « jeu de cles GQ2 elementaires ». 
Composantes privies — Pour ime equation de type direct : x ^ gf (mod/?.), 
les calculs sxjivants etablissent toutes les valeurs possibles de la composante 
priv6e g^. Les deux cas les plus simples et les plus courants, c'est-a-dire 
J = 1 et / = 2, sont suivis par le cas plus complexe, c'est-a-dire / > 2. 
Pour r = 1, c'est-i-dire s 3 (mod 4), la cle ((p+l)/4,/?) donne la racine 
carree quadratique de n'knporte quel residu quadratique dans CG{p). On en 
deduit un nombre s. = ((>,+l)/4)* (mod (p.-l)/2), ce qui donne ime cl6 is^p) 
transformant G. en w = (mod p). Q,j est egal a w ou bien a p-w. 
Pour / = 2, c'est-a-dire = 5 (mod 8), la cle {(pj-^3)/S,p) donne la racine 
carree de rang impair de n'importe quel element de rang impair dans 
CG(p). On en deduit un nombre 5.= ((p^+3)/8)* (mod (p-l)/4), ce qui 
doime xme cle isj,p) transformant G, en w s Gf (mod jet.). Remarquons que 
z = 2^^^^^ (mod Pj) est une racine carr6e de -1 parce que 2 est im residu non 
quadratique dans CG(p), Qjj est egal a w ou bien a pj-w ou bien encore a 



w' = wxz (mod p) ou bien h^p-w'. 

Pour H 2'+l (mod t^') avec / > 2, la cl6 <(p,-l+2')/2'*',ir> doH^e la racine 
carree de rang impair de n'importe quel 616ment de rang impair. Le test de 
compatibilite entre Ar, g et/? a donne la valeur de h, puis celle de u. 

- Lorsque G, est dans un cycle (m = 0, quelle que soit la valeur de K), on 
aabUt un nombre = ((p.-l+aO/l"')* (mod (p-l)/2'). La cle 
transforme G, en la solution de rang impair w = Gf (mod p), II y des 
solutions de rang pair rdparties dans min(fc, 0 branches cons6cutives 
rattach6es au cycle, disons dans a branches. est 6gal au produit de w 
par n'importe laquelle des racines 2°-iemes de I'unit^ dans CG(p,). 

- Lorsque G, est en position approprite dans une branche (« > 0, u+k < t), 
toutes les solutions sont dans la m€me branche que G„ branche rattach^e 
k un cycle par la puissance 2"-idme du nombre G,. On ^tablit un nombre 
s. = {{pj-l+iyt^'T" (mod {pj-\)lt). La cl6 {sj,p) transforme la puissance 
2"-i&ne de G, en un nombre de rang impair w. L'ensemble des produits 
de w par les racines 2*^"-iemes prmdtivgs de l'unit6 dans CG(p^) 
comprend les 2* valeurs de 

Lx)rsque Pj est tel que / > Ar, le nombre 6tant une racine 2'-idme primitive 
de I'unitd dans CG(p,), la puissance 2"-ifeme de dans CG(p) existe^; c'est 
une racine 2*-ieme primitive de Tunit^. Multiplier par une racine 2*-ieme 
primitive de l'unit6 permet de basculer la valeur du nombre A^. 
Pour une equation de type inverse : 1 = xy.g^ (mod p.), il suf&t de remplacer 
le nombre s. par ((p-l)/2V5, dans la cle ijs^p), ce qui revient h inveiser la 
valeur de dans CG{p). 

Exemple de jeu de cles k deux facteurs premiers congrus a 5 (mod 8) 
p^ = E6C83BF428.689AF8C35E07EDD06F9B39A659829A58B79CD894C 

435C95F32BF25 

/7,= llBF8A68AO817BFCCO0F15731C8B70CEF92O4A34133AODEF862 
829B2EEA74873D 
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n =P,^2 = FFFF8263434F173D0F2E76B32D904F56F4A5A6A50008C43 
D32B650E9AB9AAD2EB7 1 3CD4F9A97C4DBDA3 828A3954F296458D5^ 
F42C0126F5BD6B05478BE0A80BD1 

Voici les symboles de Legendre des tout premiers nombres premiers. 

(2 \p,) = -1; (3 Ip.) = -1; (5 \p,) = +1; (7 \pO = -1; 

(11 \p,) = +1; (13 Ip.) = -1; (17 Ip.) = +1; 

Dans CG(p,), le rang est impair pour -5, -1 1 et 1 7. 

(2 1/7^ = -1; (3 1/7,) = +1; (5 1/7^ = +1; (7 1/7^ = +1; 

(1 1 1/7,) = +1; (13 M = -1; (17 |/7,) = -1; 

Dans CG(pJ, le rang est impair pour 3, -5, 7 et 1 1. 

La fonction de Cannichael est X(n) = ppcm((/» -l)/4, (p2-l)/4). 

Un) = 33331A13DA4304A5CFD617BD6F834311642121543334F40C3D5 

7A9C8558555D5BDAA2EF6AED17B9E3794F51A65A1B37239B18FA9 

B0F61 8627D8C7E1 D8499C 1 B 

Avec A: = 9, on utilise le nombre o = X(n) - ((l+X(n))/2)' (mod X(n)) comme 
exposant prive, de fa9on a utiliser des Equations generiques de type inverse, 
c = 01E66577BC997CAC273671E187A35EFD25373ABC9FE6770E7446 
C0CCEF2C72AF6E89D0BE277CC61 65F 1 007 1 87AC58028BD241 6D4CC 
1 121E7A7A8B6AE186BB4B0 

Les nombres 2, 3, 7, 13 et 17 ne conviennent pas comme nombre de base. 
La cle (a, n) transforaie g^, = 5 en im nombre priv6 qui ne r^vele pas de 
decomposition. En effet, dans les deux corps, -5 est svir un cycle, 
g, = 818C23AF3DE333FAECE88A71C4591A70553F91D6C0DD5538EC 
0F2AAF909B5BDAD49 1FD8BF 1 3F 1 8E3DA3774CCE19D0097BC4BD4 
7C5D6E0E7EBF6D89FE3DC5 176C 

La cle (a, n) transfonne - \l mi nombre priv6 qui revMe une 
decomposition. En effet, 1 1 n'est pas en meme position dans les deux corps. 

= 25F9AFDF177993BE8652CE6E2C728AF31B6D66154D3935AC535 
196B07C19080DC962E4E86ACF40D01FDC454F2565454F290050DA05 
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2089EEC96A1B7DEB92CCA7 

La cle <G, n) transfonne = 21 = 3x7 en un nombre prive qui revele une 
decomposition. 

^3 = 78A8A2F3OFEB4A5233BCO5541AF7B684G24064^1.5EA1DD67D18 
A0459A1254121E95D5CAD8A1FE3ECFE0685C96CC7EE86167D99532 

B3A96B6BF9D93CAF8D4F6AF0 

La c\€ <a, »> transfonne = 26 = 2x13 en un nombre prive qui revele 

une decomposition. 

= 6F1748A6280A200C38824CA34C939F97DD2941DAD300030E481 

B738C62BF8C673731514D1978AF5655FE493D659514A6CE897AB76C 
0 1 E50B5488C5DAD 1 2332E5 

La c\€ privee peut encore 'se representer par les-deux^ feeteurs-^premiers, le 
parametre des restes chinois et huit composantes privees«e^ 
a s (p, (mod/?,))-' (mod p,) = ADE4EI7B703F5FBEAG5B9AiAE825D649 
E06692D15FBF0DF737B1 1 5DC4D01>2FD1D 

= 0, (modp.) = 7751A9EE18A8F5CE44AD73D613A4F465E06C6F9 

AF4D229949C74DD6G18D76FAF ^ 

Q,;, s (modp^ = A9EB5FA1B2A981 AA64CF88e382923DB64376F5F 
D481 52C08EEB61 14F3 1B7665F 

22.1 ^ ^2 (modp,) = D5A7D33C5FB75A033F2FOE8B20274B957FA3400 
4ABB2C2AC1CA3F5320C5A9049 

22.2 ^ ^2 (mod/7^ = 76C9F5EFD066C73A2B5CE9758DB512DFC01 1F5B 
5AF7DA8D39A961CC876F2DD8F 

23.1 = 23 (mod;?,) = 2FECODG2DCA5BA7290B27BC8CC85C938A514B 
8F5CFD55820A174FB5E6DF7B883 

23.2 = 23 (modpj = 010D488E6BOA38A1CC406GEEOD55DE59013389D 
8549DE49341-3F34604A4 60G 1J69- 

24.1 = 24 (mod/?,) = A2B32026B6F82B6959566FADD9517DB8ED85246 
52145EE159DF3DG0G61FE3617 



^4,2 = ^4 (mod = 01 1 A3BB9B607FOBD71BBE25F52B305C224899E5 
F1F8CDC2FE0D8F9FF62B3C9860F 

Polymorphisme de la cle privee GQ2 — Les diverses representations 
possibles de la cle privee GQ2 s'averent equivalentes : elles se ramenent 
toutes a la connaissance de la factorisation du module n qoi est la veritable 
cle privee GQ2. La representation de la cle nrivee GQ2 a iin effet sur le 
deroulement des calculs au sein de Tentit^ qui prouve. pas au sein de 
rentite qui controle . Voici les trois principales representations possibles de 
la cle priv6e GQ2. H La representation classiaue des cles privies GO 
consiste a stocker m nombres priv6s et la cle publique de verification 
(v, n) ; pour les schemas GQ2, cette representation est concurrencee par les 
deux suivantes. 2^ La representation optimale en termes de charges de 
travail consiste a stocker le parametre A, les / facteurs premiers p., mxf 
composantes privees Q.j et /-I parametres des restes chinois. 3) La 
representation optimale en termes de taille de cle privee consiste k stocker 
le parametre k, les m nombres de base et les / facteurs premiers Pj, puis, a 
commencer chaque utilisation en etablissant ou bien m nombres prives et 
le module n pour se ramener a la premiere representation, ou bien mxf 
composantes privees et /-I parametres des restes chinois pour se 
ramener a la seconde. 

Parce que la secxirite du mecanisme d'authentification dynamique ou de 
signature nimierique equivaut a la connaissance d'xme decomposition du 
module, les schemas GQ2 ne permettent pas de distinguer simplement deux 
entites utilisant le meme module. Generalement, chaque entite qui prouve 
dispose de son propre module GQ2. Toutefois, on peut specifier des 
modules GQ2 a quatre facteurs premiers dont deux sont connus d'une entite 
et les deux autres d'xme autre. 

Authentification dynamique — Le mecanisme d'authentification dynami- 
que est destine a prouver a ime entite appeiee controleur Tautiienticite 
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d'une autre entite appelee demonstrateur ainsi que 1' authenticity d'un 
6ventuel message associe M, de sorte que le controleur s'assure qu'il s'agit 
bien du demonstrateiM et 6ventuellement que lui et le demonstrateur parlent 
bien du meme message M. Le message associe M est optionnel, ce qui 
signifie qu'il peut 6tre vide. 

Le m6canisme d'authentification dynamique est une sequence de quatre 
actes : un acte d'engagement, un acte de d^fi, un acte de r6ponse et un acte 
de contrdle. Le ddmonstrateur joue les actes d'engagement et de rfeponse. 
Le contrSleur joue les actes de d6fi et de contrdle. 

Au sein du demonstrateur, on peut isoler un t^moin, de manidre k isoler 
les parametres et les fonctions les plus sensibles du d&nonstrateur, c'est-a- 
dire, la production des engagements et des reponses. Le t6m©in dispose du 
parametre k et de la cle privee GQ2, c'est-li-dire, de la factorisation du 
module n selon I'une des trois representations evoquees ci-dessus : •les/ 
facteurs premiers et les m nombres de base, • les mx/composantes privees, 
les/facteurs premiers et >^1 param^es des-restes chinois. • les m nombres 
priv6s et le module n. 

Le t6moin peut correspondre a une realisation particuliere, par exemple, 
• une carte a puce reUte it un PC formant ensemble le demonstrateur, ou 
encore, • des programmes particuUerement prot6g6s au sein d'un PC, ou 
encore, • des programmes particuUdrement proteges au sein d'une carte k 
puce. Le t6moin ainsi isole est semblable au temoin d^fini ci-apres au sein 
du signataire. A chaque execution du mecanisme, le temoin produit un ou 
plusieurs engagements R, puis, autant de reponses D a autant de defis d. 
Chaque ensemble {/?, d, D) constitue un tnplet GQ2. 
Outre qu'il comprend le t6moin, le demonstrateur dispose 6galement, le cas 
6cheant, d'une fonction de hachage et d'un rnessage M- 
Le contrdleur dispose du module n, par exemple, ^ partir d'un annuaire de 
cl6s publiques ou encore a partir d'un certificat de cl6s pubUque ; le cas 
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echeant, il dispose 6galement de la meme fonction de hachage et d'lin 
message M\ Les paramdtres publics GQ2, a savoir les nombres k, m et ^, a 
S„ P^uvent etre donnes au controleur par le demonstrateur. Le controleur est 
apte a reconstituer un engagement R ' a partir de n'importe quel defi d et de 
n'importe quelle reponse D. Les parametres k et m renseignent le 
contr61eur. Faute d'indication contraire, les m nombres de base de a 
sont les m premiers nombres premiers. Chaque defi d doit comporter m 
defis 61ementaires notes de rf, a un par nombre de base. Chaque d6fi 
elementaire de d^ a d^ est un nombre de 0 2*^-1 (les nombres de v/2 a v-1 
ne sont pas utilises). Typiquement, chaque defi est cod6 par m fois k-l bits 
(et non pas m fois k bits). Par exemple, avec A: = 5 et m = 4 nombres de base 
5, 11, 21 et 26, chaque defi comporte 16 bits transmis sur quatre quartets. 
Lorsque les {k-l)xm defis possibles sont egalement probables, le nombre 
(^-l)xm determine la securite apportee par chaque triplet GQ2 : un 
imposteur qui, par definition, ne connait pas la factorisation du module n a 
exactement une chance de succds sur 2^^'^^. Lorsque (^-l)xm vaut de 15 a 
20, un triplet suffit a assurer raisonnablement I'authentification dynamique. 
Pour atteindre n'importe quel niveau de securite, on pent produire des 
triplets en parallele ; on peut egalement en produire en sequence, c'est-i- 
dire, rep6ter T execution du mecanisme. 
1) L'acte d'engagement comprend les operations suivantes. 
Lorsque le temoin n'utilise pas les restes chinois, il dispose du parametre k, 
des m nombres prives de a et du module « ; il tire au hasard et en 
prive un ou plusieurs aleas r (0 < r < n) ; puis, par k elevations successives 
au carr6 (mod «), il transforme chaque alea r en un engagement R. 

R^r"" (modn) 

Voici un exemple avec le jeu de cl6s pr6c6dent sans les restes chinois. 
r = 5E94B894AC24AF843131F437C1B1797EF562CFA53AB8AD426C1 
AC016F1C89CFDA13120719477C3E2FB4B4566088E10EF9C010E8F09 
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C60D981512198126091996 

R = 6BBF9FFA5D509778DOF93AE074D36A07D95FFC38F70C8D7E330 
0EBF234FA0BG20A95152A8FB73DE81FAEE5BF4FD3EB7F5EE3E36D 

7068D083EF7C93F6FDDF67SA 

Lorsque le temoin utilise les restes chinois, il dispose du parametre k, des/ 
fecteurs premiers de p, a p^, de/-l parametres des restes chinois et des mx/ 
composantes privees gy; il tire au hasard et en priv6 une ou plusieurs 
collections de/al6as : chaque collection comporte un al6a r, par facteur 
premier/?, (0 < r, <i7^ ; puis, par k elevations successives au carr6 (mod/?,), 
il transforine chaque al6a r, en une composante d'engagement i?,. 

Ri = ry {modi Pi) 

Pour chaque collection de/composantes d'engagement, le t6moin etablit un 
engagement selon la technique des restes chinois. H y a autant d'engage- 
ments que de collections d'al6as.. 

R = Restes Chinois(iJ„ R^^ R) 
Voici un exemple avec le jeu-de eles precedent et avec les restes chinois. 
r. = 5C6D37FOE97083C8D120719475E080BBBF9F7392F11F3E244FDFO 

204E84D8CAE 

R^ = 3DDF516EE3945CB86D20D9C49E0DA4D42281D07A76074DD4FE 
C5C7C5E205DF66 

r, = AC8F85034AC78112071947C457225E908E83A2621B0154ED15DB 

FCB9 A49 1 5 ACS 

i?, = 01 168CEC0F661EAA15157C2C287C6A5B34EE28F8EB4D8D34085 
8079BCAE4ECB016 

R = Restes Chinois(i?., R^) = OAE51D90CB4FDC3DC757C56E063C9ED8 



5E99148?©l'7D^^i^||^/i!B^l®iiafcPl^^ 
Dans les deux cas, le demonstrateur transmet au contr61eur tout ou partie de 
chaque engagement R, ou bien, un code de hachage H obtenu en hachant 
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chaque engagement et un message M. 

2) L'acte de defi consiste ^ tirer au hasard un ou plusieurs defis d 
composes chacun de m defis elementaires d^ ... d^; chaque defi 
elementaire d. est Tun des nombres de 0 a v/2-1. 

d = d^ d^ ... d^ 

Voici un defi pour les deux exemples, c'est-a-dire avec ^ = 5 et /n = 4. 
J, = 1011 = 11 = 'B' ; t/^^OOll = 3 ;rf3 = 0110 = 6;^/,= 1001 = 9, 
d^d^ \ \ d^\\d,\ \ 10110011 01101001 = 83 69 
Le controleur transmet au demonstrateur chaque d6fi d. 

3) L'acte de reponse comporte les operations suivantes. 

Lorsque le temoin n'utilise pas les restes chinois, il dispose du paramdtre 
des m nombres prives de a et du module n ; il calcule une ou 
plusieurs reponses D en utilisant chaque alea r de I'acte d'engagement et les 
nombres prives selon les defis elementaires. 

D^rxQf^xQ^^x...Qir (modn) 
Voici la suite de Texemple sans les restes chinois. 

D = 027E6E808425BF2B401FD00B15B642B1A8453BE8070D86C0A787 
0E6C1940F7A6996C2D871EBE611812532AC5875E0E116CC8BA648FD 
8E86BE0B2ABCC3CCBBBE4 

Lorsque le temoin utilise les restes chinois, il dispose du parametre des / 
facteurs premiers de p^kpj,def-l param^tres des restes chinois et des mxf 
composantes priv6es Q,j; il calcule une ou plusieurs collections de / 
composantes de reponse en utilisant chaque collection d'aleas de I'acte 
d' engagement : chaque collection de composantes de reponse comporte vme 
composante par facteur premier. 

^^n^QilxQ^}X'"Qirj (mod A) 

Pour chaque collection de composantes de r6ponse, le temoin etablit une 
reponse selon la technique des restes chinois. II y a autant de reponses que 
de d6fis. 



D = Restes ChinoisPp D^y... D) 
Voici la suite de I'exemple avec les restes chinois. 

= r.xe,/xe,,,'°xg,/xe,r (mod;;,) = 



572A9EDEE6 

A = r.xe./xfi^-xa/xe,/ (modp^) = 

0BE022F4A20523F98E9F5DBEC0E10887902F3AA48C864A6C354693A 
D0B59D85E 

D = 90CE7EA43CB8EA89ABDD0C814FB72ADE74F02FE6F098ABB98 
C8577A660B9CFCEAECB93BE1BCC356811BF12DD667E2270134C907 

3B9418CA5EBF5191218D3FDB3 

Dahs les dem cass»le^id6Monsti!ateuf transmefe -Achaqwe reponse D au 
contrdleuTvt 

4) L'acte de contr61e^«?onsiste. i^i GontrQleE«qujgtjChaque .triplet {R, d, D) 
vdrificmc i5qiintinnr(iinlyr^-'^i"'"""*'P"''^ ^'"'^*^^^^ 

m * it 

j^xOGf' s (^o^ ou.bien i? = i)^ - X J^G/^' (mod n) 

ou bien, k r6tablir chaque engagement : aucim ne doit dtre nul. 
R^D"' I f\G^^ {modi n) oubien i^'^D^* xfjcf' (mod «) 

Eventuellement, le contrSleur calcule ensuite \m code de hachage H' en 
hachant chaque engagement retabli ' et un message M'. L'authentification 
dynamique est rdussie lorsque le contrSleur retrouve ainsi ce qu'il a regu k 
Tissue de' l'aote^d'engagement; c'est^^-dire, tout ou partie de chaque 
CTgagement ou bien, le code de hachage H. 

Par exemple, une s6qiiience d'op&ations 616mentaires transforme la riponse 
en un engagement-i? 'rLa sequence, comprend.^ cani6s-.(mod-n) separ^s 
par k-\ divisions ou multipUcations (mod n) par des nombres de base. Pour 
la i ihm& division ou multipUcation, qui s'effectue entre le i ifeme carre et le 



/+1 idme carre, le i ieme bit du d6fi elementaire d^ indique s'il faut utilisCT 
gj, le-r^ieme bit du defi elementaire indique s'il faut utiliser g^, ... 
jusqu'au / i^me bit du defi el6mentaire qui indique s'il faut utiliser g^. 
Voici la fin de I'exemple sans les restes chinois. 

D = 027E6E808425BF2B401FDOOB15B642B1A8453BE8070D86COA787 
0E6C1940F7A6996C2D871EBE611812532AC5875E0E1 16CC8BA648FD 
8E86BE0B2ABCC3CCBBBE4 
Elever au carre modulo n : 

88BA681DD641D37D7A7D9818D0DBEA82174073997C6C32F7FCAB3 

0380C4C6229B0706D1AF6EBD84617771C31B4243C2F0376CAF5DCE 

B644F098FAF3B 1EB49B39 

Multiplier par 5 fois 26 = 130, soit '82' modulo n : 

6ECABA65A91 C2243 1C413E4EC7C7B39FDE14C9782C94FD6FA3CA 
AD7AFE192B9440C1 1 13CB8DBC45619595D263C1067D3D0A840FDE0 
08B415028AB3520A6AD49D 
Elever au caxre modulo n : 

0236D25049A5217B13818B39AFB009E4D7D52B17486EBF844D64CF7 

5C4F65203 1 041 328B29EBF0829D54E3BD 1 7DAD2 1 8 1 74A01E6E3 AA65 

0C6FD62CC274426607 

Multiplier par 21, soit '15' modulo n : 

2E7F40960A8BBF1899A06BBB6970CFC5B47C88E8F115B5DA594504 
A92834BA405559256A705ABAB6E7F6AE82F4F33BF9E91227F0ACFA 
4A052C9 1 ABF389725E93 
Elever au carre modulo n : 

B802171179648AD687E672D3A32640E2493BA2E82D5DC87DBA2B2C 
C0325E7A71C50E8AE02E299EF868DD3FB916EBCBC0C5569B53D42 
DAD49C956D8572E 1285B0 

Multiplier par 5 fois 1 1 fois 21 = 1 155, soit '483' modulo n : 

33055602763 10DEFEC1337EB5BB5810336FDB28E91B350D485B091 88 




E0C4F1D67E68E9590DB7F9F39C22BDB4533013625011248A8DC417C 

667B419D27CB11F72 
Elever au caire-modul© w : 

8871C494081ABD1AEB8656C38B9BAAB57DBA72A4BD4E19029ECB 
FFF540E55138C9F22923963151FD0753145DF70CE22E9D019990E41D 

B6104005EEB7B 1 170559 

MultipUer par 5 fois 1 1 fois 26 = 1430, soit '596' modulo n : 

2CF5F76EEBF128AO7O1B56F837FF68F81A6A5D175D0AD67A14DAE 

C6FB68C362B1DC0ADD6CFC004FF5EEACDF794563BB09A17045EC 

FFF88F5 136C7FBC825BC50C 
Elever au carre modulo n : 

6BBF9FFA5D509778D0F93AE074D36A07D95FFC38F70C8D7E3300EB 
F234FA0BC20A95152A8FB73DE81FAEE5BF4FD3EB7F5EE3E36D706 

8D083EF7C93F6FDDF673A 

On retrouve bien I'engagement i?. L'authentification est r6ussie. 
Void la fin de I'exemple avec les restes chinois-. 

D = 90CE7EA43CB8EA89ABDD0C814FB72ADE74F02FE6F098ABB98 
C8577A660B9CFCEAECB93BE1BCC356811BF12DD667E2270134C907 

3B94 1 8C A5EBF5 1 91 2 1 8D3FDB3 
Elever au carre modulo n : 

770192532E9CED554A8690B88F16D013010C903172B266C1133B136E 
BE3EB5F13B170DD41F4ABE14736ADD3A70DFA43121B6FC5560CD 

D4B4845395763C792A68 

Multiplier-par 5 fois 26 = 130, soit '82' modulo n : 

6EE9BEF9E52713004971ABB9FBC31145318E2A703C8A2FB3E144E77 
86397CD8M910E70FA86262DB771AD1565303AD6B4GC6E90AE3646 

B461D352M20E240FD4 
Elever au carre modulo n : 

D9840D9A8E80002C4D0329FF97D7AD163D8FA98F6AF8FE2B2160B2 
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126CBBDFC734E39F2C9A39983A426486BC477F20ED2CA59E664C23 

CA0E04E84F2F0AD65340 
Multiplier par 21, soit '15' modxilo n : 

D7DD7516383F78944F2C90116E1BEE0CCDC8D7CEC5D7D1795ED33 
BFE8623DB3D2E5B6C5F62A56A2DF4845A94F32BF3CAC360C7782B 
5941924BB4BE9 1F86BD85F 
Elever au carr6 modulo n : 

DD34020DD0804C0757F29AOCBBD7B46A 1BAF9492 1 4F74FDFE02 1 B 
626ADAFBAB5C3F1602095DA39D70270938AE3(52F2DAE0B91485531 
0C7BCA328A4B2643DCCDF 

Multiplier par 5 fois 1 1 fois 21 = 1 155, soit '483' modulo n : 
038EF55B4C826D 1 89C6A48EFDD9DADBD2B63 A7D675A0587C85596 
1 8EA2D83DF552D24EAF6BE983FB4AFB3DE7D4D2545 1 90F1B 1F946 
D327A4E9CA258C73A98F57 
Elever au carr6 modulo n : 

D1232F50E30BC6B7365CC2712E5CAE079E47B971DA03185B33E918E 
E6E99252DB3573CC87C6b4B327E5B20C7AB920FDF142A8909DBBAl 
C04A6227FF18241C9FE 

Multiplier par 5 fois 1 1 fois 26 = 1430, soit '596' modulo n : 
3CC768F12AEDFCD4662892B9174A21D1F0DD9127A54AB63C984019 
BED9BF88247EF4CCB56D71E0FA30CFB0FF28B7CE45556F744C1FD7 
5 1BFBCA040DC9CBAB744 
Elever au carre modulo n : 

0AE51D90CB4FDC3DC757C56E063C9ED86BE153B71FC65F47C123C 
27F082BC3DD15273D4A923804718573F2F05E991487D17DAEOAAB7 
DF0D0FFA23E0FE59F95F0 

On retrouve bien Tengagement R. L'authentification est rSussie. 
Signature num^rique 

Le mecanisme de signature num6rique permet a une entite appelee 



signataire de produire des messages sign6s et a una entity appel6e 
contrdleur de verifier des messages signes. Le message M est ime sequence 
binaire quelconque : U peut 6tre vide. Le message M est sign^ en lui 
adjoignant un appendice de signature qui comprend un ou plusieurs 
engagements et / ou defis, ainsi que les r6ponses eorrespondantes. 
Le contrdleur dispose du module «, par exemple, ^ partir d'un ammaire de 
cl6s publiques ou encore ^ partir d'un certificat de cles pubUqne ; 11 dispose 
^galement de la mdme fonction de hachage. Les parametres pubUcs GQ2, k 
savoir les nombres k, metg.k g„ peuvent dtre donn& au contrdleur par le 
demonstrateur, par exemple, en les mettant dans I'appendice de signature. 
Les nombres k et m renseignent le contrdleur. D'une part, chaque defi 
el^mentaire, de d, a d^, est un nombre de 0 k 2*^'-l (les nombres v/2 a v-1 
ne sent pas utilises). D'autre part, chaque defi d doit comporter m defis 
616mentaires notes de d, a autant que de nombres de base. En outre, 
faute d'indication contraire, les m nombres debase, de g, k g„, sont les m 
premiers nombres premiers. Avec<Ar-^l)xm valant de 15 h. 20, on peut signer 
avec quatre triplets GQ2 produits-en-parallele ; avec (A:-l)xm valant 60 ou 
plus, on peut signer avec un seul triplet GQ2. Par exemple, avec Ar= 9 et 
m = 8, un seul triplet GQ2 suffit ; chaque d^fi comporte huit octets et les 
nombres de base sont 2, 3, 5, 7, 11, 13, 17 et 19. 

L'op^ration de signature est une sequence de trois actes : un acte 
d'engagement, un acte de defi et un acte de reponse. Chaque acte produit un 
ou plusieurs triplets GQ2 comprenant chacun : un engagement R 0), un 
defi compos6 de m d6fis 61ementaires not^ par d,y d^, ... d„ et une 
r^onse D 0). 

Le signataire dispose d'une fonction de hachage, du parametpe et de la cle 
priv6e GQ2; c'est^A-dire, de-la-factorisation du m94i4§ selon Tune des 
trois representations 6voqu6es ci-dessus. Au sein du signataire, on peut 
isoler un temoin qui execute les actes d'engagement et de reponse, de 



maniere a isoler les fonctions et les parametres les^lus sensibles du 
demonstrateur. Pour calculer engagements et reponses, le temoin dispose du 
parametre k et de la cle privee GQ2, c'est-a-dire, de la factorisation du 
module n selon Time des trois representations evoqu6es ci-dessus. Le 
temoin ainsi isol6 est semblable au temoin d^fini au sein du demonstrateur. 
II peut correspondre k une realisation particuliere, par exemple, • une carte 
k puce reliee a un PC formant ensemble le signataire, ou encore, • des 
programmes particuli^rement proteges au sein d'tm PC, ou encore, • des 
programmes particulidrement proteges au sein d'une carte a puce. 

1) L'acte d'engagement comprend les operations suivantes. 

Lorsque le temoin dispose des m nombres prives a et du module n, il 
tire au hasard et en prive un ou plusieurs al^as r (0 < r < /i) ; puis, par k 
elevations successives au carre (mod n\ il transforme chaque alea r en im 
engagement i?. 

i2 = r^ (mod/i) 

Lorsque le t6moin dispose des / facteurs premiers de /?, k et des mxf 
composantes privees 0^, il tire au hasard et en prive une ou plusieurs 
collections de / aleas : chaque collection comporte un alea r par facteur 
premier/;. (0 < < ; puis, par k elevations successives au carre (mod 
il transforme chaque alea en une composante d' engagement R^. 

Ri^ry (mod/?,.) 

Pour chaque collection de / composantes d*engagement, le temoin etablit un 
engagement selon la technique des restes chinois. II y a autant 
d'engagements que de collections d'aleas. 

R = Restes Chinois(iJp R) 

2) L'acte de d6fi consiste a hacher tous les engagements R et le message a 
signer M pour obtenir un code de hachage a partir duquel le signataire 
forme un ou plusiexu-s defis comprenant chacun m defis 61ementaires ; 
chaque defi elementaire est un nombre de 0 a v/2-1 ; par exemple, avec 
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k=9 etm = Z, chaque defi comporte huit octets. II y a autant de defis^que 

d'engagements. 

d=d^d^... d^, extraits du r^sultat Hash(M, R) 
3) L'acte de r^ponse comporte les op6rations smvantes. 
Lorsque la t6moin dispose des m nombres priv6s Q, k Q„ et du module n, il 
calcule une ou plusieurs reponses D en utiUsant chaque al6a r de l'acte 
d'engagement et les nombres priv6s selon les d6fis 616mentaires. 

X^Q^'xQ^^x...Qi'" (modw) 
D = rxX (modn) 
Lorsque le t^moin dispose des / facteurs premiers de p, a et des mxf 
composantes privies Q^, il calcule une ou plusieurs collections de / 
composantes de r6ponse en utilisant chaque collection d'al6as de l'acte 
d'engagement : chaque collection de composantes de r6ponse comporte une 
composante par facteur premia:. 

Xi = Q(\ yiQi} x...0^™. (mod Pi) 
Di^TiX^Xi (mod Pi) 
Pour chaque collection de composantes de rdponse, le t^moin 6tabUt une 
reponse selon la technique des restes chinois. II y a autant de reponses que 
de d6fis. 

D = Restes Chinois(i?„ D^, ... D) 
Le signataire signe le message M en lui adjoignant un appendice de 
signature comprenant : 

- ou bien, chaque triplet GQ2, c'est-^-dire, chaque engagement chaque 
d6fi d et chaque reponse D, 

- ou bien, chaque engagement R et chaque r6ponse D correspondante, 
_ ou bien, chaque^defttf et ehaque r6ponser> correspondante. 

Le d^roulement de l'op6ration de verification depend du contenu de 
r appendice de signature. On distingue les trois cas. 

Au cas oil I'appendice comprend un ou plusieurs triplets, I'opdration de 
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controle comporte deux processus independants dont la chronologic est 
indiflF^rente. Le controleur accepte le message signe si et seulement si les 
deux conditions suivantes sont remplies. 

D'une part, chaque triplet doit eti-e coherent (une relation appropri^e du 
type suivant doit etre verifi^e) et recevable (la comparaison doit se faire sur 
une valeur non nulle). 

Gp^D" (modn) oubien ie^ZJ^ xJJg/' (mod «) 

1=1 

Par exemple, on transforme la reponse D par une sequence d'op^rations 
61ementaires : k cairns (mod «) separes par ^-1 multiplications ou divisions 
(mod n) par des nombres de base. Pour la / ieme multiplication ou division, 
qui s'effectue enti-e le / ieme carre et le z+l idme cair6, le i idme bit du defi 
el6mentaire c?, indique s'il faut utiliser g„ le / idme bit du d6fi 61ementaire 
indique s'il faut utiliser g^, . . . jusqu'au / i6me bit du d^fi 61dmentaire qui 
indique s'il faut utiliser g^. On doit ainsi retrouver chaque engagement R 
pr6sent dans I'appendice de signature. 

D'auti-e part, le ou les triplets doivent etre U6s au message M. En hachant 
tons les engagements i? et le message M, on obtient un code de hachage a 
partir duquel on doit retrouver chaque dejS d. 

d = d^ d^ ... d^, identiques a ceux extraits du resultat Hash(Af, R) 
Au cas oil Tappendice ne comprend pas de d^fi, I'operation de contrdle 
commence par la reconstitution de un ou plusieurs d6fis d' en hachant tons 
les engagements R et le message M. 

d' = d\d\... d'^ extraits du resultat Hash(Af, R) 
Ensuite, le controleur accepte le message sign6 si et seulement si chaque 
triplet est coherent (une relation appropri6e du type suivant est verifiee) et 
recevable (la comparaison se fait sur une valeur non nulle). 

m 

^xFI^/"'^^'* (mod«) oubien R^D^' yf\Gf'^ {m.^^ n) 

7=7 



-Xu cas oil I'appendice ne comprend pas d'engagement, reparation de 
conteSle^eommence par la rec011stitution.de un ou plusieurs engagements R' 
selon une. des deux fonnules suivantes, ceUe qui est appropri^er Aucun 
engagement r^tabli ne doit gtre nul. 

r^^D""' /f\G^' {mod n) oubien iJ'^D^* xfjGf* (mod «) 
it 

Ensuite, le controleur doit hacher tous les engagements R' ttle message M 
de fa9on a reconstituer chaque defis d. 

d = d d ... d„y identiques k ceux extraits du resultat Hash(M, R 0 
Le. eontrSle^ acc"^te le message signe si et seulement si chaque defi 
rec0nsti1iu6 est identique au d6ficorrespondant figurant, en appendiee. 



ANNEXE 1 

Precede, systeme, dispositif destines a prouver Pauthenticite d'une 
entite et/ou Tintegrite et/ou rauthenticite d'un message aux moyens de 
facteurs premiers particuliers. 

La presente invention conceme le domaine technique des precedes, des 
systemes ainsi que des dispositifs destines a prouver I'authenticite d'une 
entite et/ou I'integrite et/ou T authenticite d'un message. 
Le brevet EP 0 311 470 Bl dont les inventeurs sent Louis Guillou et Jean- 
Jacques Quisquater decrit un tel procede. On y f era ci-apres reference en le 
designant par les termes : "brevet GQ" ou "procede GQ". Par la suite on 
d6signera parfois par "GQ2", "invention GQ2" ou "technologic GQ2" de 
nouveaux developpements de la technologic GQ faisant Tobjet des 
demandes pendantes deposees le meme jour que la presente demande par 
France Telecom, TDF et la Societ6 Mathrizk et ayant pour inventeur Louis 
Guillou et Jean- Jacques Quisquater. Les traits caracteristiques de ces 
demandes pendantes sont rappeles chaque fois que cela est necessaire 
dans la description qui suit. 

Selon le procede GQ, une entite appelee " autorite de confiance " attribue 
une identite a chaque entit6 appelee " temoin " et en calcule la signature 
RSA; durant un processus de personnalisation, 1' autorite de confiance 
donne identity et signature au temoin. Par la suite, le temoin proclame : 
" Void mon identite ; j'en connais la signature RSA. " Le temoin prouve 
sans la reveler qu'il connaJt la signature RSA de son identite. Grace ^ la cle 
publique de verification RSA distribuee par T autorite de confiance, une 
entite appelee " controleur " verifie sans en prendre connaissance que la 
signature RSA correspond a T identite proclamee, Les mecanismes utilisant 
le procede GQ se deroulent " sans transfer! de connaissance Selon le 
procede GQ, le tenaoin ne connait pas la cle privee RSA avec laquelle 
I'autorite de confiance signe un grand nombre d'identites. 
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La technologie GQ precedemment decrite fait appel a la technologic RSA. 
Mais si la technologie RSA depend bel et bien de la factorisation du 
module n, cette dependance n'est pas. une equivalence, loin s'en faut, 
comme le demontrent les attaques dites "multiplicatives'- contre les 
diverses normes de signature num^rique mettant en oeuvre la technologie 
RSA. 

L'objectif de la technologie GQ2 est double : d'une part, ameliorer les 
performances par rapport a la technologie RSA ; d' autre part, eviter les 
problemes inherents a la technologie RSA. La connaissance de la cle privee 
GQ2 est equivalente a la connaissance de la factorisation du module n. 
Toute attaque au niveau des triplets GQ2 se ramene a la factorisation du 
module n : il y a cette fois equiyalenee, Avec la teehnol©gdg^6Q2, la charge 
de travail est*reduite, tanti;pour Fentite qui sigae gu* quivs'authentifie que 
pour celle tqul contr61e;*»ikGrace^ k un^meilleur^usagejpgidumproMeme de la 
factorisation^ tant en seeurit6^qu ven performaiice, la teehn©l0gie GQ2 evite 
les inconvenients presentes par la technologic RSA, 

Le proeede GQ met enroeuvre des caleuls modulo des nombresr^de 512 bits 
ou davantage. Ces calculs concement des nombres ay ant sensiblement la 
meme taille eleves a des puissances de Tordre de 2^^ + L Or les 
infrastructures microelectroniques existantes, notamment dans le domaine 
des cartes bancaires, font usage de microprocesseurs auto-programmables 
monolithiques depourvus de coprocesseurs arithm^tiques. La charge de 
travail liee aux multiples operations arithmetiques impliquees par des 
proc6des tels que le proeede GQ, entraitie des temps de calcul qui dans 
certains cas s'averent penalisant pour les consommateurs utilisant des 
cartes bancaires pour acquitter leurs achats. II est rappele* id, qu'en 
cherchant a accroitre la securite des cartes de paiement, les autorites 
bancaires posent un probleme particulierement delicat a resoudre. En effet, 
il faut traiter deux questions apparemment contradictoires : augmenter la 



securite en utilisant des cles de plus en plus longues et distinctes pour 
chaque carte tout en evitant que la charge de travail n'entraine des temps 
de calcul prohibitifs pour les utilisateurs. Ce probleme prend un relief 
particulier dans la mesure ou, en outre, il convient de tenir compte de 
r infrastructure en place et des composants microprocesseurs existants. 
La technologie GQ2 apporte une solution a ce probleme tout en renforgant 
la securite. 

La technologie GQ2 met en oeuvre des facteurs premiers ayant des 
proprietes particulieres. Differentes techniques existent pour produire ces 
facteurs premiers. La presente invention a pour objet un procede 
permettant de produire de maniere systematique de tels facteurs premiers. 
EUe concerae aussi T application qui pent etre faite de ceux-ci plus 
particulierement dans la mise en oeuvre de la technologie GQ2. On 
souligne des a present que ces facteurs premiers particuliers et le procede 
permettant de les obtenir sont susceptibles d' application en dehors du 
champ de la technologie GQ2. 

L' invention s' applique a un procede (procede GQ2) destine a prouver a 
une entite controleur, 

- Tauthenticite d'une entite et/ou 

- I'integrite d'un message M associe a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- un module public n constitue par le produit de f facteurs premiers pj, 
P2, ... Pf (f etant superieur ou egal a 2), 

- un exposant public v ; 

- m nombres de base g^, g2, ... g„ entiers, distincts, (m etant superieur 
ou egal a 1). 

Les nombres de base a sont tels que les deux equations (1) et (2) : 
x^ = gimodn et x^H-g,modn 



n'ont pas de solution en x dans Tanneau des entiers modulo n, 

y 

et tel que requatibn (3 ): 

a des solutions en x dans I'anneau des entiers modulo n . 
Le precede selon Tinvention pemiet de produire les f facteurs premiers p^^, 
P2,» Pf t^W® sorte que les equations (1), (2) et (3) soient satisfaites. Le 
procede selon Tinvention comprend Tetape de choisir en premier : 

• les m nombres de base g^^, gj^, . . . g„, 

• la taille du module n, 

• la taille des f facteurs premiers Pi^, P2,5 . . . Pf- 

Le procede conceme le cas ou Texposant public v est de la forme : 

V = 2"^ 

ou k est un parametre de securite plus grand que L On choisit egalement 
en premier le parametre de seGuritd->k. Cette -valeur particuU^ de 
I'exposant v est un des traits essentiels de la technologie GQ2. 
De preference, les m nombres de base gi,, g2,5 gmr sont choisis au moins 
en partie parmi les premiers- nombres entiers. De preference egalement, le 
parametre de securite k est un petit nombre entier, notarament inferieur a 
100. Avantageusement, la taille du module n est superieure a plusieurs 
centaines de bits. Avantageusement egalement, les f facteurs premiers Pi^, 
P2,» • Pf ont une taille voisine de la taille du module n divise par le nombre f 
de facteurs, 

Selon une caracteristique importante du procede selon T invention, les f 
facteurs premiers Px^, p^^, ... Pf ne sont pas choisis de maniere quelconque. 
Parmi les f facteurs premiers p^^, p^ . . . Pf un certain nombre d'entre eux : e 
seront choisis congms ^ 1 modulo 4. Ce nombre e de facteurs premiers 
pent etre nuL Dans le cas ou e est nul le module n sera ci-apres qualifie de 
module basique, dans le cas ou e > 0 le module n sera ci-apres qualifie de 
module mixte. Les f-e autres facteurs premiers sont choisis congrus a 3 



modulo 4. Ce nombre f-e de facteurs premiers est au moins egal a 2. 

Choix des f-e facteurs premiers congnis a 3 modulo 4 
Pour produire les f-e facteurs premiers Pi,, P2,, •• • Pf-e congrus a 3 modulo 4, 
on met en oeuvre les etapes suivantes : 

- on choisit le premier facteur premier pj congm a 3 modulo 4 puis, 

- on choisit le deuxifeme facteur premier p^ tel que p2 soit 
complementaire de pj par rapport au nombre de base gy 

Pour choisir le facteur pj+i , on procede comme suit en distinguant deux 
cas: 

(1) Cas oil i> m 

Dans le cas ou i> m, on choisit le facteur p,+i congm k 3 modulo 4. 

(2) Cas oil i^ m 

Dans ce cas oh i< m, on calcule le profil (Profil,(g,)) de gj par rapport aux i 
premiers facteurs premiers Pi, 

• si le Profil,(gi) est plat, on choisit le facteur pj+j tel que p,+i soit 
complementaire de pj par rapport a gj, 

• sinon, on choisit parmi les i-1 nombres de bases gi, gj, ... gi-i et 
toutes leurs combinaisons multiplicatives le nombre, ci-apres denomme g, 
tel que Profil|(g) = Profil,(gi), on choisit ensuite pj^i tel que Prorili^.i(gi) 56 
Profil,^i(g). 

Les expressions "complementaire", "profil", "profil plat" ont le sens 
defini dans la description. 

Pour choisir le dernier facteur premier Pf^ on procfede comme suit, en 
distinguant trois cas : 

(1) Cas oii f-e-1 > m 

Dans le cas ou f-e-1 > m, on choisit p^^ congru a 3 modulo 4. 

(2) Cas oil f-e-1 =m 

Dans le cas ou f-e-.l = m, on calcule Prorilf^.i(g„) par rapport aux f-e-1 
premiers facteurs premiers, de p^ k pj^j^ 



• si Profilf.^.i(g^) est plat, on choisit p^^e-i Q^'^l soit 
complementaire de pj par rapport a g„ , 

• sinon, on procede comme il est ci-apres stipule. 

On choisit parmi les m-1 nombres de bases de gj a g„.,i et toutes leurs 
combinaisons multiplicatives le nombre, ci-apr^s d6nommp g, tel que 
Profili(g) = Profili(gi) puis, on choisit ensuite tel que ProfiIf.e(g) ^ 
ProfiI,^(g„). 

(3) Cas ou f-e-1 <m 
Dans le cas oil f-e-1 < m, on choisit Pf.^ tel que les deux conditions 
suivantes soient satisfaites : 

(3.1) Premiere condition. 

On calcule Profilf^.i(gf^i) par rapport aux f-e-1 premiers facteurs premiers, 
de py h Pf.e-1, Deux cas.sont alors a eonsiderer. Selon Tun ou I'autre de ces 
deux cas, la premifere condition sera^diff^rente. 

Si ProfiIf-e-i(gf,e.i) est-platy on choisit Pf.e tel qu'il satisfasse h la premiere 
condition d'Stre complementaire de--pi par rapport k g^.^.! (premiere 
condition selon le premier cas) sinon, on choisit pannages f-e-1 nombres de 
bases de gi a g^.j et toutes leurs combinaisons multiplicatives le nombre, ci- 
apres denomme g, tel que ProfiljCg) = Profilf.^.i(gf.^.i) puis, on choisit 
ensuite Pf.^ tel qu'il satisfasse a la condition d'etre tel que Profilf^ (g) ^ 
Profilf.^ (gm)' (premiere condition selon le deuxieme cas) 

(3.2) Deuxieme condition 

On selectionne paraii T ensemble des demiers nombres de bases de g^.^ a g„ 
ceux dont le profil Profilf.e.i(gi) est plat puis, on choisit Pf^ tel qu'il 
satisfasse a la condition d'etre compl6mentaire de p^ par rapport a chacun 
des nombres de bases ainsi selectionn^s (deuxieme condition). 

CMToix des e facteurs premiers congrus a 1 modulo 4 
Pour produire les e facteurs premiers congrus a 1 modulo 4, on evalue 
chaque candidat facteur premier p , de p^.^ a Pf , en lui faisant subir les deux 



tests successifs suivants. 

(1) Premier test 

On calcule le symbole de Legendre de chaque nombre de base g| ^ de a 
, par rapport au facteur premier p candidat, 

• si le symbole de Legendre est egal a -1, on rejette le candidat p, 

• si le symbole de Legendre est egal a +1, on poursuit devaluation du 
candidat p en passant au nombre de base suivant puis, lorsque le demier 
nombre de base a ete pris en compte on passe au deuxieme test, 

(2) Deuxieme test. 

On calcule un nombre entier t tel que p-1 est divisible par X mais pas par 
2'"*"^ puis, on calcule un entier s tel que s = 

On applique la cle < s, p> ^ chaque valeur publique Gj pour obtenir un 
resultat r 

T= G|*modp 

Si r est egal a gj ou - gj , on poursuit le deuxieme test en passant ^ la valeur 
publique Gj+i suivante. 

Si r est different de g^ ou - & , on calcule un facteur u en appliquant 
Talgorithme ci-apres specific pour un indice ii allant de 1 a t-2. 
L'algorithme met en oeuvre deux variables : w initialisee par r et jj = 2" 
prenant des valeurs allant de 2 a 2^"^ , ainsi qu'un nombre b obtenu par 
rapplication de la cle < (p-l)/2*, p> a un residu non quadratique de CG(p). 
L'algorithme consiste ^ repeter autant que necessaire, la sequence 
suivante: 

• Etape 1 : on calcule wVOjCmod p). 

• Etape 2 : on eleve le resultat a la puissance 2^"""^ Deux cas sont a 
considerer. 

Premier cas 

Si on obtient +1 , on passe a la valeur publique Gi+i suivante et on poursuit 
le deuxieme test pour cette valeur publique. 



Deuxieme cas. 

Si on obtient -1, on calcule jj = 2" puis, on reri^lace w par w.b" (mod p). 
Ensuite, on poursuit Talgorithme pour la valeur suivante de Tindice ii. 
A Tissue de ralgorithme, la valeur figurant dans la variable jj permet de 
calculer un nombre entier u par la relation jj = 2^'" puis, on calcule 
r expression t-u. Deux cas se presentent : 

• si t-u < k , on rejette le candidal p 

• si t-u > k, on continue revaluation du candidal p en passant a la 
valeur publique Gj+i suivante puis, en poursuivant le deuxifeme test. 

Le candidal p est accepte comme facteur premier congm a 1 modulo 4 si a 
Tissue du deuxieme test, pour toutes les m valeurs publiques G| , il n'a pas 
ete rejete. 

Application aux valeurs publiques et privees de GQ2 
La presente invention conceme egalement un procede (procede GQ2) 
faisant application du procede qui vient d'etre decrit et qui permet, 
rappelons le, de produire f facteurs prennders Pi^, P2,, ... Pf ayant des 
propriet6s particuliferes. Le procede faisa^it application du proced€ qui 
vient d'etre decrit est destine a prouver a une entile contrSleur, 

- Tauthenlicite d'une entite et/ou 

- Tintegrite d'un message M associe a cette entile, 

Cette preuve est etablie au moyen de lout ou partie des parametres 
suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q^, Q2, ... et publiques G^, G2, ..• 
G„ (m etant superieur ou egal a 1), 

- le module public n constitue par le produit desdits f facteurs premiers 
Pi> P2> Pf (f 6tanfcsup.eiiifeuR0u egal a 2), 

- Texposant public v , 

Ledil module, ledit exposanl et lesdiles valeurs sont li6s par des relations 
du type : 



Gp Qi^ = 1 . mod n ou Gi = Qi^mod n - 
Ledit exposant v est-tel que 

v = 2'^ 

oil k est un parametre de securite plus grand que 1 . 

Ladite valeur publique Gj est le carre du nombre de base gj inferieur aux 
f facteurs premiers p^ P25 Pr Le nombre de base a est tel que les deux 
equations : 

= g. mod n et = - & mod n 
n'ont pas de solution en x dans Tanneau des entiers modulo n et tel que 
r equation : 

x"" = gj^ mod n 

a des solutions en x dans I'anneau des entiers modulo n. 

Ledit procede met en ceuvre selon les Stapes suivantes une entite appel6e 

t6moin. Ladite entite temoin dispose des f facteurs premiers Pj et/ou des 

parametres des restes chinois des facteurs premiers et/ou du module public 

n et/ou des m valeurs privees Qj et/ou des fan composantes Qi^j (Qj, j = Qi 

mod Pj) des valeurs privees Q| et de 1' exposant public v . 

Le temoin calcule des engagements R dans I'anneau des entiers modulo n . 

Chaque engagement est calcule : 

• soit en effectuant des operations du type 

Rsr^modn 
oil r est un alea tel que 0 < r < n, 

• soit en effectuant des operations du type 

Ri = ri''mod P| 

oil FiCSt un alea associe au nombre premier pj tel que 0 < F; < Pi , chaque 
appartenant a une collection d'aleas {r^ , , rj, puis en appliquant la 
methode des restes chinois. 

Le temoin regoit un ou plusieurs defis d. Chaque defi d comportant m 
entiers dj ci-apres appeles defis elementaires. Le temoin calcule a partir de 
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chaque defi d une reponse D, 

• soit en effectuant des operations du type : 



modn 




mod Pi 



puis, en appliquant la methode des restes chinois- 

Le precede est tel qu'il y a autant de reponses D que de defis d que 
d' engagements R, chaque groupe de nombres R, d, D constituant un 
triplet note {R, d, D}. 

De preference, pour mettre en oeuvre, comme il vient d'etre decrit, les 
couples de valeurs privees Qi, Q2? Qm publiques Gj, G2, , on 

utilise les facteurs premiers Pi, pj, ... Pf et/ou les parametres des restes 
chinois, les nombres de bases g^, gj, gm ^t^ou les valeurs publiques G^, 
Gj, ... G„ pour calculer : 

- soit les valeurs privees Q2, Qm extrayant une k ieme racine 
carree modulo n de G| , ou en prenant T inverse d'une k ieme racine carree 
modulo n de G^, 

- soit les f.m composantes privees Qj^ j des valeurs privees Qi, Q2, ... 
, telles que Qj, j = Q, (mod Pj) , 

Plus particulierement, pour calculer les f.m composantes privees Qj^ j des 
valeurs privees Qj, Q2, Qm • 

- on applique la cle < s, pj > pour calculer z tel que 

z = Gi* (mod pj) 

- et on utilise les valeurs t et u . 

Les valeurs t et u sont calcul6es comme il a ete indique ci-dessus dans le 
cas ou Pj est congru a 1 modulo 4. Les valeurs t et u sont prises 
respectivement egales a 1 (t=l) et 0 (u=0) dans le cas ou Pj est congru a 3 
modulo 4. 

Si la valeur u est nul, on considere T ensemble des nombres zz tels que : 




• • • zz soit egale a z ou tel que 

• • • zz soit egale au produit fnibd pj) de z par chacune des 
T'^ racines 2" iemes primitives de T unite, ii allant de 1 a min(k,t) . 

Si u est positif, on considere T ensemble des nombres zz tels que zz soit 
egale au produit (mod pj) de za par chacune des 2^ racines 2^ iemes de 
Tunite, za designant la valeur de la variable w a Tissue de I'algorithme ci- 
dessus decrit. 

On en deduit au moins une valeur de la composante Qj j. EUe est egale a zz 
lorsque 1' equation Gj = mod n est utilisee ou bien elle est egale a 
rinverse de zz modulo pj de zz lorsque Tequation G, . Qj"" = 1 . mod n est 
utilisee. 
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De s c-r ip^ti on 

Rappelons robjectif de la technologie GQ : rauthentification dynamique 
d'entites et de messages associes, ainsi que la signature numerique de 
messages. 

La version classique de la technologie GQ fait appel a la technologie RSA. 
Mais, si la technologie RSA depend bel et bien de la factorisation, cette 
dependance n'est pas une equivalence, loin s'en faut, conrune le 
demontrent les attaques dites « multiplicatives » contre diverses normes de 
signature numerique mettant en ceuvre la technologie RSA. 
Dans le cadre de la technologie GQ2, la presente partie de T invention porte 
phiR preeise«eM sur la productio^^ des;-jeux..de xles GQ2 .d es^^^^ a assurer 
rauthentificktion dynamique et la sign^ature-^numeriqia^.^Laa^^^ 
GQZ,ne»fait^pas^appel-a la teehn@l©gie^iRSA.^L'obj:e^^^ : d'une 

part, ameli©rer4es?perfote laitgehnoiogie RSA ; d' autre 

part, eviteF^aes^problenaesanherents a la ^echnoLsgie RSA. La cle privee 
GQ2 est4a .factorisation dmmodule.n/a'oute attaqiue^auis-niveau^^ triplets 
GQ2 se ramene a la factorisation du module n : il y a cette fois equivalence. 
Avec la technologie GQ2, la charge de travail est reduite, tant pour I'entite 
qui signe ou qui s'authentifie que pour celle qui controle. Grace a un 
meilleur usage du probleme de la factorisation, tant en securite qu'en 
performance, la technologie GQ2 concurrence la technologie RSA. 
La technologie GQ2 utilise un ou plusieurs petits nombres entiers plus 
grands que 1, disons m petits nombres entiers (m > 1) appeles « nombres de 
base » et notes par g.. Puis, on choisit une cle publique de verification <v, n) 
de la maniere suivante. L'exposant public de verification v est 2* ou k est 
un petit nombre entier plus grand que 1 (/:> 2). Le module public n est le 
produit d'au moins.deux facteurs premiers plus grands que les nombres de 
base, disons /facteurs premiers (f> 2) notes par pj, dep^ ... p^ Les/ facteurs 
premiers sont choisis de fa^on a ce que le module public n ait les propriet6s 



suivantes par rapport a chacun des m nombres de base de a g^. 

- D'une part, les equations (1) et (2) n'ont pas de solution en x-Ains 
Tanneau des entiers modulo n, c'est-a-dire que g^ et -g^ sont deux 
residus non quadratiques (mod n). 

x^= gi (modn) (1) 
x^ = -gi (modn) (2) 

- D' autre part, I' equation (3) a des solutions en x dans Tanneau des 
entiers modulo n. 

= gi (modn) (3) 
Par la suite, ces proprietes sont encore appelees les principes GQ2. 
La c\€ publique de verification <v, n) etant fixee selon les nombres de base 
de g^ k g^ avec m > 1, chaque nombre de base g^ determine un couple de 
valeurs GQ2 comprenant une valeur publique et una valeur privee Q^i 
soit m couples notes de (2i a G^ La valeur publique G^ est le carre du 
nombre de base g^ : soit = gj^. La valeur privee est une des solutions a 
I'equation (3) ou bien Tinverse (mod n) d'une telle solution. 
De meme que le module n se decompose en /facteurs premiers, Tanneau 
des entiers modulo n se decompose en / corps de Galois, de CG(pi) a 
CG{pf). Voici les projections des equations (1), (2) et (3) dans CGipJ). 
=gi (mod Pj) (l a) 

x2=-g. (modpj) (2.a) 

x2^ = gi (modpj) (3,a) 
Chaque valeur privee peut se representer de maniere unique par / 
composantes privees, une par facteur premier : Q^^ = (mod pj). Chaque 
composante privee Q^j est une solution a T equation (3.a) ou bien T inverse 
(mod pj) d'une telle solution. Apres que toutes les solutions possibles a 
chaque equation (3.a) aient ete calculees, la technique des restes chinois 
permet d'etablir toutes les valeurs possibles pour chaque valeur privee Qi a 
partir de /composantes d& Q^k Q^^: = Restes Chinois (Q^i, 0^2^ 2^/) 
de maniere a obtenir toutes les solutions possibles a I'equation (3). 



Void la technique des restes chinois : soient deux nombres entiers positifs 
premiers entre eux aetb tels que 0 < a < b, et deux composantes X^dc 0 a 
a-1 at de 0 a b-l ; il s'agit de determiner X = Restes Chinois JQ, 
c'est-a-dire, le nombre unique X de 0 a a,b-l tel que Xa = X(moda) et 
Xfy = X{modb). Void le parametre des restes chinois : a = [b (mod a)}'* 
(mod a). Voici Toperation des restes chinois : £ = X^ (mod a) ; 5 = X^s ; si S 
est negatif, remplacer 5par 5fa ;y^a.S (mod a) ; X= 7. +X^- 
Lorsque les facteurs premiers sont ranges dans Tordre croissant, du plus 
petit au plus grand pj^ les parametres des restes chinois peuvent etre les 
suivants (il y en af-l, c'est-a-dire, un de moins que de facteurs premiers). 
Le premier parametre des restes chinois est a= {p2 (mod Pi)y^ (mod py). Le 
second parametre des restes chinois est j3 = {px^P2 (mod p^}}'^ (mod p^), Le i 
ieme parametre des restes chinois est A = [pyPz- . . . (mod p,)}'^ (mod p). 
Et ainsi de suite. Ensuite, en f-l operations des restes chinois, on ^tablit un 
premier r6sultat (mod p2 fois p^) avec le premier parametre, puis, un second 
resultat (modpi.p2 fois p^) avec le second paramfetre, et ainsi de suite, 
jusqu'a un resultat (mod p^. ... pj ^ fois p^), c'est-^-dire, (mod n). 
L'objet de Tinvention est une methode pour produire au hasard n'importe 
quel jeu de cles GQ2 parmi tous les jeux possibles, a savoir : 

- produire au hasard n'importe quel module parmi tous les modules GQ2 
possibles, c'est-a-dire, les modules assurant que, pour chacun des m 
nombres de base g,., les equations (1) et (2) n'ont pas de solution en x 
dans I'anneau des entiers modulo n alors que T equation (3) en a. 

- calculer toutes les solutions possibles a chacune des equations (3 .a). La 
technique des restes chinois permet ensuite d'obtenir une valeur 
privee a partir de chaque jeu de / composantes de k de 
maniere a obtenir n'importe quelle solution en x a r6quation (3) parmi 
toutes les solutions possibles. 

= Restes Chinois (Q^^, Q^2^ . . . Qi^J) 
Pour apprehender le probleme, puis, comprendre la solution que nous 



donnons au probleme, c'est-a-dire, Tinvention, nous analysons tout 
d'abord Tapplicabilite des principes de la technologic GQ2. Commengons 
par rappeler la notion de rang dans un corps de Galois CG(p) afin d'etudier 
les fonctions « elever au carre dans CG(p) » et « prendre une racine carree 
d'un residu quadratique dans CG(p) ». Puis, analysons T existence et le 
nombre de solutions en x dans CG(p) aux equations (La), (2.a) et (3.a). 
Rang des elements dans CG(p) 

Soit un nombre premier impair p et un nombre entier positif a plus petit que 

p. Defmissons la suite {X}. 

{x }={:>^=a; puispouri>l, Xj^i = ax^ (modp) } 

Calculons le terme pour I'indice f+p et utilisons le theoreme de Fermat. 
XL+p = a^x^=ax^=3^i (modp) 

Par consequent, la periode de la suite {X} est p-l ou un diviseur de p-1. 
Cette p6riode depend de la valeur de a. Par definition, cette periode est 
appelee « le rang de a (mod p) ». C'est I'indice d' apparition de Tunite dans 
la suite [X]. 

^ang(a,p)=l (modp) 

Par exemple, lorsque (p-l)/2 est un nombre premier impair le corps de 
Galois CG(p) comporte un seul Element de rang 1 : c'est 1, un seul element 
de rang 2 : c*est -1, p'-l elements de rang p\ p'-l Elements de rang 2.p\ 
c ' est-a-dire, de rang p-l. 

Les elements de CG(p) ayant pour rang p-1 sont appeles les elements 
« primitifs » ou encore, « generateurs » de CG(p). La denomination est due 
au fait que leurs puissances successives dans CG(p), c'est-a-dire, les termes 
de la suite [X] pour les indices allant de 1 a p-1, forment une permutation 
de tous les elements hon nuls de CG(p). 

Soit un element primitif y de CG(p). Evaluons le rang de I'element y 
(mod p) en fonction de i et de p-L Lorsque i est premier avec p-1, c'est 
p-L Lorsque i divise p-1, c'est (p-1)//. Dans tous les cas, c'est 
(p-l)/pgcd(p-l, 0- 



# 



La fonction d'Euler est no tee par (p. Par definition, n etant un nombre 
entierpositif,^^(p(n) est le nombre de nombres entiers positifs, plus petits que 
n et premiers avec n. Dans le corps CG(p), il y a done (p(p-l) elements 
piimitifs. 

A litre d'illustration, voici la base de la technologic RSA. Le module public 
n est le produit de / facteurs premiers, de Pi k Pf avec / > 2, tel que pour 
chaque facteur premier py, Texposant public v est premier avec ppl. La cl6 
<v, pj) respecte le rang des elements de CG(pp : elle les permute. La 
permutation inverse s'obtient par une cle {sp pJ) telle que pj-l divise v.Sj-l. 
Carres et racines carrees dans CG(p) 

Les elements x et p-x ont le meme carre dans CG(p). La cle <2, p) ne 
perinute pas les :elements de CG(p) parce que p-l est pair. Pour chaque 
nombre premier definissons un nombre entier t de la maniere suivante : 
p-l est divisible par--2', mais pas par^2'"*"\ c'est-^-dire que /? est congru a 
2'+l (mod 2'"'*). Par exemple, t = 1 lorsque p est congru a 3 (mod 4) ; f = 2 
lorsque p est congm a 5 (mod 8) ; f = 3 lorsque p est congru a 9 (mod 16) ; 
f = 4 lorsque /? est congru k 17 (mod 32) ; et ainsi de suite. Chaque nombre 
premier impair figure dans une et une seule categoric : p figure dans la t 
ieme categoric. En pratique, si Ton considere un assez grand nombre de 
nombres premiers successifs, environ un sur deux figure dans la premiere 
categorie, un sur quatre dans la deuxieme, un sur huit dans la troisieme, un 
sur seize dans la quatrieme, et ainsi de suite ; en resume, un sur 2' en 
moyenne figure dans la t ieme categorie. 

Considerons le comportement de la fonction « elever au carre dans CG(p) » 
selon la parite du rang de T argument. 

- n y a un seul element-fixe : c'est 1. Le carre de tout autre element de 
rang impair est un autre element ay ant le meme rang . Pair consequent, la 
cle (2,p> pemiute 1' ensemble des (p-l)/2' elements de rang impair. Le 
nombre de cycles de permutation depend de la factorisation de 
(f^-l)/2^ Par exemple, lorsque (p-l)/2' est un nombre premier il y a 




un grand cycle de permutation comportant p'-l elements. 
- Le carr6 de tout element de rang pair est un autre element don t le rang 
est divise par deux. Par consequent, les Elements de rang pair se 
r6partissent sur (^l)/2' branches ; chaque element non nul de rang 
impair porte une branche de longueur t comportant 2-1 61ements, k 
savoir : un element de rang divisible par deux mais pas par quatre, puis, 
si r > 2, deux elements de rang divisible par quatre mais pas par huit, 
puis, si / > 3, quatre elements de rang divisible par huit mais pas par 
seize, puis, si r > 4, huit elements de rang divisible par seize mais pas par 
32, et ainsi de suite. Les 2''* extremites de chaque branche sont des 
residus non quadratiques ; leur rang est divisible par 2'. 
Les figures lA h ID illustrent la fonction « elever au carre dans CG(p) » par 
un graphe oriente oii chacun des p-l elements non nuls du corps trouve sa 
place : les residus non quadratiques sont en blanc et les residus 
quadratiques en noir ; parmi les residus quadratiques, les elements de rang 
impair sont encercles. 
Ces figures presentent respectivement : 

figure 1 A : cas ou p est congra a 3 (mod 4) ; 
figure IB : cas ou /7 est congru a 5 (mod 8) ; 
figure 1 C : cas ou p est congm a 9 (mod 16) ; 
figure ID : cas oii p est congm a 17 (mod 32). 

Voyons comment calculer une solution en x a T equation ^ a (mod p) 
sachant que a est un residu quadratique de CG(p), c'est-a-dire, comment 
« prendre une racine carree dans CG(p) ». II y a bien sur plusieurs fagons 
d'obtenir le meme resultat : le lecteur pourra avantageusement consulter les 
pages 31 a 36 du livre de Henri Cohen, a Course in Computational 
Algebraic Number Theory, publi6 en 1993 par Springer a Berlin comme le 
volume 138 de la serie Graduate Texts in Mathematics (GTM 138). 
Calculous un nombre entier s = (p-l+20/2'+^ pour etablir une cle {s, p). 



Soit : <(/?+l)/4, p) lorsque p est congru a 3 (mod 4), <(p+3)/8, p) lorsque p 
est congru a 5 (mod 8), <(/7+7)/16, p) lorsque p est congru a 9 (mod 16), 
<(p-Hl5)/32, p) lorsque p est congru a 17 (mod 32), et ainsi de suite. 

- La cle <5, p) donne la racine carree de rang impair de n'importe quel 
element de rang impair. En effet, dans CG(/?), r^/a vaut a eleve a la 
puissance (2-(p--l+20/2 '"^'O-l = (p-l)/2'. Par consequent, lorsque a est 
sur un cycle, la cle p) transfomie a en une solution que nous 
nommons w. L' autre solution est p-w. 

- D'une mani&re generale, la cle <5, p) transforme tout r6sidu quadratique 
a en une premiere approximation de solution que nous nommons r, 
Voici deux points cles, puis, Tebauche d'une methode pour ameliorer 
pas a pas T approximation jusqu' a une racine carree de a. 

- D'une part, puisque a est un residu quadratique, la cl6 {2''\ p) 
transforme certainement r^la en 1. 

- D'autre part, supposons que nous connaissons un residu non 
quadratique de CG(p) que nous nommons y ; la cle <(/>-l)/2^ p) 
transforme y en un element que nous nommons b : c'est une racine 
2'-^ i^me de -1 ; en effet, y^^^^ = -1 (mod p). Par consequent, dans 
CG(p), le groupe multiplicatif des 2' racines 2^ iemes de Tunit^ est 
isomorphe au groupe multiplicatif des puissances de b pour les 
exposants de 1 a 2^ 

- Pour se rapprocher d'une racine carree de a, elevons r^/a a la 
puissance 2'"^ (mod p) : le resultat est +1 ou -1. La nouvelle 
approximation reste r si le resultat est +1 ou bien devient b.r (mod 
p) si le resultat est -L Par consequent, la cle <2'■^ p) transforme 
certainement la nouvelle approximation en 1. On peut continuer a 
se rapprocher: au prochain pas, on ajustera s'il le faut en 
multipliant par b^ (mod p) ; et ainsi de suite. 

L'algorithme suivant etablit des approximations successives pour aboutir a 
une racine carree de a a partir des nombres entiers r et ^ definis ci-dessus ; 




il utilise deux variables entieres : w initialisee par r pour representer les 
approximations successives et jj prenant des valeurs parmi les puissances 
de 2, de 2 a 2'-\ 

Pour / allant de 1 ^ f-2, repeter la sequence suivante : 

- Calculer vi^/a (mod p), puis, elever le r6sultat la puissance 2*^"' (mod p) : 

on doit obtenir +1 ou -1. Lorsque Ton obtient -1, calculer jj = 2', puis, 

remplacer w par w.b'^ (mod p). Lorsque Ton obtient +1, ne rien faire. 

A Tissue du calcul, w et p-w sont les deux racines carrees de a dans CG(p). 

En outre, nous apprenons que le rang de a dans CG(p) est divisible par 2'/jj 

mais pas par 2'*^/jj. La pertinence de cette remarque apparaitra par la suite. 

Analyse des principes de la technologie GQ2 dans CG(p) 

Soit deux nombres entiers getk plus grands que 1 et un nombre premier p 

plus grand que g. Analysons I'existence et le nombre de solutions en x 

dans CG(p) aux equations (l.a), (2.a) et (3.a). 

Dans le corps de Galois CG(p), distinguons differents cas selon la valeur de 
t, c'est-a-dire, selon la puissance de deux qui divise p-l. Rappelons que 
p-1 est divisible par 2', mais pas par 2'■'^ c'est-a-dire que p est congru a 
2'+l (mod 2'*^). L' analyse prec6dente nous donne une idee assez precise 
du probl^me pos6 ainsi qu'une ebauche de solution. 

Lorsque t = l,p est congm k 3 (mod 4). Les symboles de Legendre de g et 
-g par rapport a p sont differents ; tout residu quadratique de CG{p) a 
deux racines carries dans CG(p) : Tune est un residu quadratique et I'autre 
un residu non quadratique. D'une part, une des deux 6quations (La) ou 
(2.a) a deux solutions en x dans CG(p) et I'autre n'en a pas. D'autre part, 
I'equation (3.a) a deux solutions en x dans CG(p) quelle que soit la valeur 
de k. 

Lorsque f = 2, /? est congru a 5 (mod 8). Deux cas se presentent selon le 
symbole de Legendre de g par rapport k p. Lorsque le symbole vaut -1, g 
et -g sont deux residus non quadratiques de CG(p) : les trois Equations 
(La), (2.a) et (3.a) n'ont pas de solution en x dans CG(p). Lorsque le 



symbole vaut +1, g et ~g sont deux residus quadratiques de CG(p), chaque 
equation (l.a) et (2.a) a deux solutions en x dans QG{p) \ de plus, le rang de 

dans GG(p) est impair, ce qui implique que quelle que soit latyaleur de 
requation (3.a) a quatre solutions en x dans CG(p) dont une seule de rang 
impair. 

La figure 2 illustre les solutions a I'equation (3.a) avec ^ = 6 et p congru k 5 

(mod 8), soit f = 2. Remarquons que, parce que le symbole de Legendre de 

2 par rapport a p congru a 5 (mod 8) vaut -1, 2*"^^^^ (mod p) est alors une 

racine carree de —1. On a done : 

p s 5 (mod 8) ; par consequent : (2|/?)= - 1 

p s 2 ^ (mod /7);donc h' = -1 (mod p) 

Lorsque / = 3, /? est congru a 9 (mod 16). Considerons le symbole de 
Legendre de g par rapport a p. Lorsque le symbole vaut -1, g et -g sont 
deux residus non quadratiques de CG(p) : les trois equations (La), (2-a) et 
(3.a) n'ont pas de solution en x dans CG(p). Lorsque le symbole vaut +1, g 
et -g sont deux residus quadratiques de CG(p) ; chaque equation (l.a) et 
(2.a) a deux solutions en x dans CG{p) ; Texistence de solutions en a 
I'equation (3.a) depend du rang de g^ dans CG{p) : ce rang est impair ou 
divisible par deux, mais pas par quatre. Lorsque le rang de dans CG{p) 
est divisible par deux, mais pas par quatre, Tequation (3. a) a quatre 
solutions en x dans CG(p) pour /: = 2 ; elle n'en a pas pour k>3. Lorsque 
le rang de g^ dans CG(p) est impair, T equation (3.a) a quatre solutions en x 
dans CG(p) pour A: = 2 et huit pour k>3; dans les deux cas, une seule est 
de rang impair. 

Lorsque / = 4, p est congru a 17 (mod 32). Considerons le symbole de 
Legendre rde g par rapport a p. Lorsque le symbole vaut -1, g et -g sont 
deux residus non quadratiques de CG(p) : les trois equations (La), (2.a) et 
(3.a) n'ont pas de solution en x dans CG(p). Lorsque le symbole vaut +1, g 
et -g sont deux residus quadratiques de CG(p) ; chaque equation (La) et 
(2.a) a deux solutions en x dans CG(p) ; 1' existence de solutions en :r a 




r^quation (3.a) depend du rang de dans CG(p) : ce rang est impair ou 
cttvlsible par deux ou quatre, mais pas par huit. Lorsque le rang de dans 
CG(p) est divisible par quatre, mais pas par huit, T^quation (3.a) a quatre 
solutions en x dans CG(p) pour A = 2 ; elle n'en a pas pour A: > 3. Lorsque 
le rang de dans CG(p) est divisible par deux, mais pas par quatre, 
r^quation (3.a) a quatre solutions en x dans CG(p) pour A: = 2 ou huit pour 
A: = 3 ; elle n'en a pas pour k>A. Lorsque le rang de g^ dans CG(p) est 
impair, Tequation (3. a) a quatre solutions en x dans CG{p) pour k = 2, huit 
pour k = 2> ei seize pour A: ^ 4 ; dans les trois cas, une seule est de rang 
impair. 

Et ainsi de suite, de sorte que le cas oii p est congru a 1 (mod 4) pent se 
r^siimer comme suit. 

Lorsque p est congru a 1 (mod 4), considerons le symbole de Legendre 
de g par rapport & p, Lorsque le symbole vaut -1, g et -g sont deux residus 
non quadratiques de CG(p) : les trois Equations (l.a), (2.a) et (3.a) n'ont 
pas de solution en x dans CG(p). Lorsque le symbole vaut +1, g et -g sont 
deux residus quadratiques de CG(p) ; chaque equation (l.a) et (2.a) a deux 
solutions en x dans CG(p). Defmissons le nombre entier u : le rang de g^ 
dans CG(/?) est divisible par 2", mais pas par 2"*^ ; la valeur de u figure 
parmi les t-\ valeurs possibles, de 0 a t-2. L' existence et le nombre de 
solutions en x dans CG(p) a I'equation (3.a) depend des valeurs de k, t et k. 
Lorsque u est positif et k est superieur a t-u, I'equation (3.a) n'a pas de 
solution en x dans CG(p). Lorsque u est nul et k superieur a f, I'equation 
(3.a) a 2' solutions en x dans CG(p). Lorsque k inferieur ou 6gal ^ 
I'equation (3. a) a 2* solutions en x dans CG(p). 

Applicabilite des principes GQ2 dans les anneaux d'entiers modulo 

Pour que I'equation (1), respectivement (2), n'ait pas de solution en x dans 
I'anneau des entiers modulo n, il faut et il suffit que, pour au moins un des 
fantenrs premiers p, de a p^^ I'equation (l.a), respectivement (2.a), n'ait 
pas de solution en x dans CG(p). 



Pour que I'equation (3) ait des solutions en x dans Tanneau des entiers 
modulo n, 11 fauf'et il suffit que. ..pour chacun des iacteurs .premiers /?, de a 
Pp requation (3.a) ait des solutions en a: dans CG(p). 
L'equation (3) interdit tout facteur premier p congni a 1 (mod 4) des que 
pour Tun des nombres de base g, de a g^: ou bien^ le symbole de 
Legendre de g par rapport a p est egal a -1 ; ou bien, le symbole de 
Legendre de g par rapport a p est egal a +1 avec la condition : u positif et 
superieur a t-k. Pour qu'un facteur premier p congru a 1 (mod 4) soit 
possible, il doit remplir I'une des deux conditions suivantes pour chacun 
des nombres de base g, de a g^, selon les deux nombres entiers r et w 
definis ci-dessus. Ou bien, le rang de G = est impair dans CG(p), c'est-a- 
dire, u = 0, quelle que soit la valeur de J:. Ou bien, le rang 4e G = g^ est pair 
dans CG{p\ c'est-^k-dire, u > 0, et il satisfait la condition :u '¥k<^t. 
Un produit de faeteuTS premieKSisiseongi^s a 1 (m0d;4) -ne peut assurer 
I'ensemble des principes^de'rla te©hnol0gier.GQ2. Chaque module GQ2 doit 
avoir au moins deux-facteurs prerruers congrus a 3 (mod 4) tels que, pour 
chaque nomtore de base.g, |e symbole de-Legendre;^de g par^apport ^ Tun 
differe du symbole de Legendre de g par rapport a 1' autre. Lorsque tous les 
facteurs premiers sont congrus a 3 (mod 4), on dira que le module GQ2 est 
basique. Lorsqu'en plus d'au moins deux facteurs premiers congrus a 3 
(mod 4), le module inclut un ou plusieurs facteurs premiers congrus a 1 
(mod 4), on dira que le module GQ2 est mixte. 
Construction systematique de modules GQ2 

Au depart, il faut fixer les contraintes globales a imposer au module n : une 
taille en bits (par exemple, 512 ou 1024 bits) ainsi qu'un nombre de bits 
successifs a 1 en poids forts (au moins un bien sur, typiquement 16 ou 32 
bits), un nombre / de facteurs premiers et un nombre e (pouvant etre nul) 
de facteurs premiers devant etre congrus a 1 (mod 4) ; les autres facteurs 
premiers, soit/-e facteurs, au moins deux, doivent etre congms a 3 (mod 4). 
Le module n sera le produit de / facteurs premiers de tallies voisines. 




Lorsque e = 0, on obtient un module GQ2 basique ; lorsque e > 0, on 
obtient un module GQ2-fi{ixte. Un module basique est le produit de 
facteurs premiers tous congrus ^ 3 (mod 4). Un module GQ2 mixta apparait 
done comme le produit d'un module G02 hasique pa r un ou plusieurs 
autres facteurs premiers congrus h 1 (mod 4^ On produit d'abord des 
facteurs premiers congrus k 3 (mod 4). Ensuite, si e > 0, on produit des 
facteurs premiers congrus ^ 1 (mod 4). 

Pour refficacite de la construction de modules G02. il vaut bien mieux 
selectionner chaque candidat avant de chercher a sa voir s'il est premier. 
Not6s par g, g2 ... , les nombres de base figurent typiquement parmi les 
premiers nombres premiers : 2, 3, 5, 7, ... Faute d'indication contraire, les m 
nombres de base sont les m premiss nombres premiers : = 2, = 3, 
s= 5, §4 = 7, ... Toutefois, notons les remarques suivantes : il faut eviter 2 
si Ton escompte un facteur congru a 5 (mod 8) ; il faut 6viter 3 si Ton doit 
utiliser la c\6 publique <3, n) comme cle publique de verification RS A. 
Choix def-e facteurs premiers congrus a 3 (mod 4) 
A partir du deuxieme facteur, le programme demande et utilise un nombre 
de base par facteur. Pour le choix du dernier facteur congru a 3 (mod 4), le 
programme demande s'il y a d'autres nombres de base, c'est-a-dire, si m est 
egal ou superieur af-e, puis, si tel est le cas, demande et prend en compte 
les demiers nombres de base, de gf_g h. g„. Pour formaliser le choix des 
facteurs premiers congrus ^ 3 (mod 4), nous avons introduit una notion de 
profil ; le piofil caracterise un nombre entier g par rapport k un ensemble 
de facteurs premiers plus grands que g et congrus k 3 fmod 4). 

- Lorsqu'un nombre entier g a le mane symbole da Legendre par rapport 
^ deux facteurs premiers, on dit que les facteurs premiers sont 
equivalents par rapport a g. Sinon, ils sont cnmplementaires par 
rapport k g. 

- Not6 par Profil/g), l e profil d'un nombre entier g par rapport a / facteurs 
premiers pi ... p^est una s6quance de /bits, un bit par facteur premier. 




Le premier bit vaut 1 ; chaque bit suivant vaut 1 ou 0 salon que le 
facteur suivant est equivalent ou conai^iementaire de par rapport a g. 

- Lorsque tous les bits d'un profil sont egaux a 1, on dit que le profil est 
plat . Dans un tel eas, tous les symboles de Legendre de g sont egaux a 
+1, ou bien, ^-1. Lorsque le profil de g est non plat, les equations (1) et 
(2) n'ont pas de solution en x dans I'anneau des entiers modulo n. 

- Par definition, le profil de g par rapport a un seul nombre premier congru 
a 3 (mod 4) est toujours plat. Cette extension permet de g€neraliser 
ralgorithme de choix des facteurs premiers congrus a 3 (mod 4). 

Lorsque les profils de deux nombres de base g^ et g2 sont differents, ce qui 
implique au moins trois facteurs premiers congrus a 3 (mod 4), la 
connaissance des deux valeurs privees et Q2 induit la connaissance de 
deux decompositions differentes du module n. Lorsque les nombres de 
base sont des petits nombres premiers, le programme assure que les profils 
des 2^"*"^-l combinaisons multiplicatives des f-e-1 premiers nombres de 
base sont tous differents : ils prennent toutes les valeurs possibles. La 
notion de profil ne s'etend pas aux facteurs premie rs congms a 1 (mod 4). 
Premier facteur premier congru a 3 (mod 4) : Chaque candidal doit 
etre congru a 3 (mod 4), sans autre contrainte particulifere. 
Deuxieme facteur premier p2 congru a 3 (mod 4) avec prise en compte 
du premier nombre de base g^ : Chaque candidat doit etre complementaire 
de py^ par rapport a g^. 

Troisieme facteur premier p^ congru a 3 (mod 4) avec prise en compte 
du deuxieme nombre de base • Selon le profil de g2 par rapport aux deux 
premiers facteurs premiers p^ et /?2, deux cas se presentent. Lorsque 
Profil2(g2) ^st plat, chaque candidat doit etre complementaire de p^ par 
rapport a Sinon, on a Profil2(gi) = Profil2(g2) y chaque candidat doit alors 
assurer que Profil3(gi) Profil3(g2)- 

Choix du i ieme facteur premier p^^^ congru a 3 (mod 4) avec prise en 
compte du nombre de base g^: Selon le profil de g^ par rapport aux i 



premiers facteurs premiers /^p /?2' Pi^ deux cas se presentent. Lorsque 
Profil;(gf) est plat, chaque candidat doit etre complementaire de par 
rapport a g,. Sinon, parmi les /-I nombres de base g^, gj* • • • ^i-i toutes 
leurs combinaisons multiplicatives, gj-fo* » gvSi — soit en tout 2*"^-l 
nombres entiers, il existe un nombre entier g et un seal tel que Profil,.(g,.) = 
Profil,(g) ; chaque candidat doit alors assurer que Profil,v,i(g,) ^ Profil,+i(g). 
Dernier facteur premier Pf_^ congru a 3 (mod 4) avec prise en compte 
du nombre de base g^^^j et des autres nombres de base de g^.^ a g^ : On 
prend en compte les contraintes dues au nombre de base g/^^i, tout comme 
ci-dessus. En outre, lorsque m est egal ou superieur a/-e, chaque candidat 
doit assurer un profil non plat aux demiers nombres de base, de g^^^ a g^, 
par rapport aux f-e facteurs premiers. Chaque candidat doit etre 
complementaire de par rapport a tous les g^ pour lesquels Profiljr^_i(gi) est 
plat. 

En resume, les facteurs premiers congrus a 3 (mod 4) sont choisis les 
uns en fonction des autres. 

Pour i allant de 0 a/-^-l, pour choisir le i+1 ieme facteur premier congru a 
3 (mod 4), le candidat p^^^ doit passer avec succes Texamen suivant : 

Si z > m ou si I = 0, alors le candidat p^^^ n'a pas d'autre contrainte ; il 

est done accepte. 

Si 0 < i < wi, alors le candidat p^+i doit prendre en compte le / ieme 
nombre de base g,-. On calcule le profil Profili(gj) du nombre de base g^ 
par rapport aux i premiers facteurs premiers, de p^ k Selon le resultat, 
un et un seul des deux cas suivants se presente : 

- Si le profil est plat, alors le candidat /? doit etre complementaire de 
/?! par rapport a g, ; sinon, il faut le rejeter. 

- Sinon, parmi les z-1 nombres de base et toutes leurs combinaisons 
multiplicatives, il y a un et un seul nombre que nous nonmions g tel 
que Profil,(g) = Profil,-(gi) ; alors le candidat doit etre tel que 
Profil,.,i(g) ^ Profil,-+i(gf) ; sinon, il faut le rejeter. 




Si f+1 =/-^ et z < c'est-a-dire, pour choisir le dernier facteur premier 
congru a 3 (mod 4) lorsqu-ll reste des nombres de base, ^^ -gf^di g^^ qui 
n'ont pas encore ete pris en compter le caadidat^jpy:^ doit les prendre en 
compte : pamii ces demiers nombres de base^ on selectionne ceux dont 
le profil Profil^_g^i(g^ est plat ; le candidal doit etre coniplementaire 
de pi par rapport a chacun des nombres de base ainsi selectionnes ; 
sinon, il faut le rejeter. 

Le candidal est accepte lorsqu'il a passe avec succes les tests appropries. 

Choix de e facteurs premiers congrus a 1 (mod 4) 

Pour etre acceptable, chaque candidal p congru a 1 (mod 4) doit remplir les 
conditions suivantes par rapport a chaque nombre de base de a g^. 

- Evaluons le symbjole de*^ Legendre* de chaque nombre de base^,- par 
rapport a p^. Si le syrnbole* vaut -1, rejejons le eandidat-:;/? pour passer a 
un autre xandidatvi.Si le tsymbole vaut +1, paur^uivons revaluation du 
candidafcwNotons que^si le nombre entieF-2 est-iatilis^vcomme nombre de 
base, alors tous les candidats congms a 5 (mod 8) doivent etre ecartes : 
le nombre de" base*#2 est^^incompatible ^^aveG*: un- faeteui^^congru ^ 5 
(mod 8). 

- Calculons un nombre entier s = (p-1+20/2^'*"^ pour etablir une cle (^,;7>. 
Appliquons la cle p) a chaque valeur publique pour obtenir un 
resultat r. Deux cas se presentent. 

- Si r vaut ou -g,-, alors u = 0. Dans ce cas et dans ce cas 
seulement, est sur un cycle, Remarquons un cas trivial : G^ est 
sur un cycle des lors que p est congru a 5 (mod 8) et que le 
symbole de Legendre de g^ par rapport a p vaut +1. Rappelons que 
G. = 4 est impossible dans ce cas. 

- Si f ne vaut ni g^ ni -g,-, alors u >0 ; notons que la cle {(p-l)/2', p) 
transforme tout residu non quadratique y en un element b qui est 
une racine 2' ieme primitive de T unite. L'algorithme suivant calcule 
u a partir de r et en utilisant deux variables entiferes : w initialisee 
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par r et jj prenant des valeurs de 2 a 2^ ^. 
Pour i allant de 1 a f-2, repeter la sequence suivante : 
- Calculer vi^/G^- (mod pj)^ puis, elever le resultat a la puissance 2'"'"^ 
(mod pj) : on doit obtenir +1 ou -1. Lorsque Ton obtient -1, calculer jj = 2', 
puis, remplacer w par w.b^ (mod /t^). Lorsque Ton obtient +1, ne rien faire. 
A Tissue du calcul, la variable w a pour valeur ou -g,. De plus, nous 
Savons que le rang de G,- dans CG(pp est divisible par 2^/jj mais pas par 
2''^Vjf/, c'est-a-dire que jj determine la valeur de u par 77 = 2^ Lorsque v 
est plus grand que jj, c'est-a-dire, k > t-u, rejeter le candidat pour passer a 
un autre. Lorsque v est plus petit ou egal a jj, c'est-a-dire, k < t-Uy 
poursuivre revaluation du candidat. 

Lorsque les /facteurs premiers ont 6t6 produits, le module public n est le 
produit des /facteurs premiers p^y p^, ... Pp L'entier non signe n peut se 
representer par une sequence binaire ; cette sequence respecte les 
contraintes imposees au debut du programme pour la taille en bits et pour 
le nombre de bits successifs a 1 en poids forts. Le choix des facteurs 
premiers assure les proprietes suivantes du module n par rapport a chacun 
des m nombres de base gj, ... g^^ D'une part, les equations (1) et (2) 
n'ont pas de solution en x dans I'anneau des entiers modulo n. D' autre 
part, Tequation (3) a des solutions en x dans Tanneau des entiers modulo 
n. 

En resume, les facteurs premiers congrus a 1 (mod 4) sont choisis 
independamment les uns des autres. Alors que les facteurs congms a 3 
(mod 4) prennent en compte progressivement les nombres de base, chaque 
facteur premier congru a 1 (mod 4) doit prendre en compte Tensemble des 
contraintes imposees par chacun des nombres de base. Chaque facteur 
premier congm a 1 (mod 4), soit de p^^ a pp doit avoir passe avec succes 
I'examen suivant en deux etapes. 

1) L'etape (1) s'execute successivement pour chacun des m nombres 
de base de^ia^,^. 




On calcule le symbole de Legendre du nombre de base courant g par 
rapport au candidal p. Un et un seul des deux cas suivants se presente : Si 
le symbole vaut -1, on rejette le candidal. Sinon (le symbole vaut +1), on 
poursuit Texamen en passanl au nombre de base g suivanl a I'etape (1). 
Lorsque le candidal esl acceptable pour T ensemble des m nombres de base, 
on passe a Tetape (2), 

2) L'etape (2) s'execute successivement pour chacune des m valeurs 
publiques de a G^. 

On calcule un entier t tel que p-1 est divisible par 2' mais pas par 2'^\ puis, 
un entier s = (p-l+20/2^'*'\ de fafon a etablir une cle <5,p>. On applique la 
cle (Sy p) a la valeur publique courante g^ pour obtenir un resultat r, 
soil : r = (modp) , Selon le resultat, un et un seul des deux cas 
suivants se presente : 

a) Si r est egal a g ou a -^g, alors « = 0 ; on poursuit I'examen du 
candidal en passant k la valeur publique G suivante ^ I'^tape (2). 

b) Sinon, on calcule un nombre u positif, prenant une des valeurs de 1 ^ 
r-2, en appliquant Talgorithme suivanl qui met en oeuvre deux 
variables : jr/ prenant des valeurs allant de 2 a 2^"^ et w initialisee par r, 
ainsi qu'un nombre entier b obtenu en appliquant une cle <(p-l)/2^p> 
a un residu non quadratique de CG(p). 

Pour un indice ii allant de 1 a t-2, on repete 1' operation suivante : 
On calcule vv^/G (mod p\ puis, on applique une cle <2'~""\ p) au 
resultat pour obtenir +1 ou -1 (sinon, on a une preuve que le 
candidal n'esl pas premier). Si Ton obtienl -1, alors on calcule 
= 2", puis, c = b^ (mod p\ puis, on remplace w par w.c (mod /?) , 
puis, on passe a Tindice ii suivanl. Si I'on obtienl +1, on passe a 
r indice ii suivanl. 
A Tissue de Talgorithme, la valeur figurant dans la variable jj definit u 
par la relation jj - 2'"" ; la valeur figurant dans la variable w est une 
racine carree de G, c'est-a-dire, g ou -g (sinon, on a une preuve que le 




candidal n'est pas premier). Deux cas se presentent : 
n Si t-u < k, alors on rejette le candidal p parce que la branche ou 

figure G n'est pas assez longue. 
n Sinon {t~u > k)y on poursuit revaluation du candidal en passant a 
la valeur publique G suivante k Tetape (2). 
Lorsque le candidal est acceptable pour T ensemble des m valeurs 
publiques, il est accepte comme facteur premier congru a 1 (mod 4), 
Calcul des valeurs associees 

Pour obtenir les composantes privees, calculons toutes les solutions a 
Tequation (3. a) dans les deux cas les plus simples el les plus courants avant 
d'aborder le cas general. 

Pour chaque facteur premier pj congru a 3 (mod 4), la cle <(p^+l)/4, pp 
donne la racine carree quadratique de n'importe quel residu quadratique. 
On en deduit une manifere de calculer une solution a Tdquation (3.a) : 

Sj = ((py+1) / 4)* (mod (p,^l)/2) ; puis, = G/^ imodpj) 
ou bien plulot, T inverse (mod pp d'une telle solution. 

Sj = (p^-l)/2-((P;+l) / 4)* (mod (p,.-l)/2) ; puis, = G/^' (mod pj) 
Dans CG(py), il y a alors deux et seulement deux racines carrees de T unite : 
+1 et -1 ; il y a done deux solutions en a: a Tequation (3.a) : les deux 
nombres Q^j et Pj-Qq ont le meme carre G,- (mod pp. 

Pour chaque facteur premier pj congru a 5 (mod 8), la cle <(p,+3)/8, pp 
donne la racine carree de rang impair de n'importe quel Element de rang 
impair. On en deduit une solution a I'^quation (3.a) : 

Sj ^ ((Py+3) / 8)* (mod (pj-m) ; puis, = G/^ (mod pp 
ou bien plulot, T inverse (mod pp d'une telle solution. 

Sj ^ (p -l)/4^((p,+3) / 8)* (mod (py-l)/4) ; puis, Q,j ^ G/^' (mod pp 
Dans CG(pp, il y a alors quatre et seulement quatre racines quatriemes de 
Tunite ; il y a dona quatre solutions en x a Tequation (3.a). Remarquons 
que 2^^'^^^^'^ (mod pp est une racine carree de -1 parce que le symbole de 
Legendre de 2 par rapport a p congru a 5 (mod 8) vaut -1. Si (2^; est une 



solution, alors Pj-Qq est une autre solution, ainsi que le produit (mod pj) de 
Q^j par une racine carree de -1. 

Pour un facteur preniier^/;^ congKu^a 2^+1 (mod 2^*^), la cle ((/7^-l-h20/2'^S 
Pj) donne la racine carree de rang impair de n'importe quel^elementde rang 
impair. On peut done calculer une solution a I'equation (3.a). 

- Calculons d'abord un nombre entier Sj = {{ppl+iyi^^^f (mod (p^-l)/20 
pour etablir une cle {sj, Pj). 

- Lorsque la cle <(/7y~l+20/2'^\ Py> transforme en g- ou en - g,., le rang de 

est impair dans CG(pj) (u = 0). Alors, la cle {sj.pj} transforme G,- en un 
nombre z : c'est la solution de rang impair a I'equation (3. a). Selon les 
valeurs de t et de A:, il y a encore min(2*-l, 2-1) autres solutions sur une 
ou plusieurs branches. La branche de porte une autre solution : c'est 
Pj--Z' Lorsque / > 2, la branche de z"^ porte deux autres solutions : c'est le 
produit de z par chacune des^deux racines carries de -1, c'est-k-dire, 
chacune des deux racines quatrieraes primitives de 1' unite. Or, si y est un 
residu non quadratique de CG(pp, alors, y^^'^^"*" (mod pj) est une racine 
carree de -L D'une manifere generale, pour i prenant-chaque valeur de 1 
a min(A:, r), la branche de la puissance 2' ieme de z porte 2'"^ solutions : ce 
sont les produits (mod pJ) de z par chacune des 2'"*^ racines 2' ifemes 
primitives de T unite. Or, si y est un residu non quadratique de CG{pj), 
alors, 3^ a la puissance (/?y-l)/2' est une racine 2' ieme primitive de 1' unite 
que nous nommons c. Les 2'"^ racines 2' iemes primitives de T unite sont 
les puissances impaires de c: c, (mod pj\ (mod pJ), c a la 
puissance 2-1 (mod pj). 

- Lorsque la cle <(py-l+20/2^*S/?/> transforme Q en un nombre entier r qui 
n'est'-ni ni -g., le rang de est pair dans CG(pj) (« > 0). Alors* a 
condition que G, soit convenablement place sur une branche assez 
longue, c'est-a-dire, t>k+u, il y a 2* solutions sur la branche oil figure 
Gj.. Pour calculer une racine 2* ieme, il suffit de reiterer k fois de rang 
Talgorithme de calcul de racine carree donne ci-dessus, de fagon a 




calculer les racines carrees des resultats successifs jusqu'a une solution 
Ce calcul peut bien sur etre optimise pour approcher directement une 
racine 2* ieme et ajuster ensuite une seule fois T approximation d'une 
racine 2* ieme pour atteindre une solution Pour obtenir toutes les 
autres solutions, remarquons tout d'abord que si y est un residu non 
quadratique de CG(py), alors, y a la puissance (pj-l)/2^ est une racine 2* 
ieme primitive de 1' unite que nous nonraions d. Les 2* racines 2* iemes 
de I'unite sont les puissances successives de d: d,cf (mod pj), (P (mod 
pp, ...d k la puissance 2^-1 (mod pj), d kla puissance 2* (mod pj) qui 
vaut 1. Les 2*. solutions sur la branche ou figure sont les produits 
(mod Pj) de z par chacune de ces racines, 
En resume, pour calculer une composante pour le facteur premier p et 
le nombre de base^, connaissant ky t et on precede conune suit : 

1) On calcule un nombre entier: s s ((p-1+20/2''"^)* (mod (p-l)/20 pour 
etablir une cle {s,p). Puis, on applique la cle {s,p) 2i G pour obtenir 
z = G^(mod p). Selon la valeur de w, on passe a Tetape (2) ou (3). 

2) Si w = 0, z est la solution de rang impair a T equation (3.a). H y a encore 
min(2*-l, 2^-1) autres solutions de rang pair sur une ou plusieurs 
branches, tres exactement sur min(^, /) autres branches. Pour / allant de 
1 a min(^, t\ la branche de la puissance 2' ieme de z porte 2''^ solutions : 
ce sont les produits (mod p) de z par chacune des 2'"^ racines 2' iemes 
primitives de Tunite. La solution generique a I'equation (3.a) est 
representee par zz* On passe a I'etape (4). 

3) Si « > 0, toutes les solutions a Tequation (3.a) sont de rang pair. II y en 
a 2* et elles figurent toutes sur la branche oii figure G ; en effet : t-u > 
h Pour calculer une solution, Talgorithme suivant met en oeuvre deux 
variables :jj prenant des valeurs allant de 2 a 2'"^ et w initialisee par z, 
ainsi qu'un nombre entier b obtenu en appliquant une cle {(p-l)/2\ p) 
^ un residu non quadratique de CG(p)- 

On repete k fois de rang la sequence suivante : 



Pour un indice ii allant de 1 a on repete T operation suivante : 
On calGule w^/G (mod;?), puis, on applique,.*une cle (2''^''''\ /?> au" 
resultat pour obtenir +1 ou -1 (sinon, on a une preuve que p n'est 
pas premier). Si I'on obtient— 1, alors on calcule jj = 2", puis, c = M 
(mod pX puis, on remplace w par w.c (mod /?), puis, on passe a 
rindice ii suivant. Si Ton obtient +1, on passe k Tindice ii suivant. 
A Tissue de Talgorithme, la variable w a pour valeur .za. Les 2* 
solutions sur la branche oii figure G sont les produits (mod p) de za par 
chacune des 2* racines 2* iemes de T unite. La solution generique h, 
Tequation (3. a) est representee par zz. On passe a Tetape (4). 
4) Connaissant zz, on en deduit une valeur de composante : c'est 
rinverse .de«:^zz modulo p lorsque T equation G.Q^ = 1 (mod n) est 
utilis^e-ettzzjprsqiie Tequation G s Ql (m®d n) est utilis6e«ft: 
Remarqiij^.-Il y a diyeisses^methodes poucwobteni^^flesAe^o^^^ privees 
et les valeurs'*priveesiiConnaissant une colleetion-de.^ composantes, c'est- 
a-dire, les/ composante pour un nombre de base donne, la technique des 
restes chimois permet^des^ealouleMa valeur priv6e«correspQndante. On voit 
ainsi que, pour une valeur publique G et un module n donnes, il peut y 
avoir plusieurs valeurs privees Q possibles. H y en a quatre lorsque n est le 
produit de deux facteurs premiers congrus a 3 (mod 4) ; il y en a huit avec 
trois facteurs premiers congrus a 3 (mod 4) ; il y en a seize avec deux 
facteurs premiers congrus a 3 (mod 4) et un congru a 5 (mod 8). Un usage 
judicieux de ces multiples valeurs peut compliquer les attaques par analyse 
de la consommation electrique d'une carte a puce^utilisant GQ2. 
Ainsi, au fur et a mesure que t augmente, le programme se complique pour 
des cas«;de plus en plus rares. En effet, les nombres-premiers se-^repartissent 
en moyenne conmie suit :t=l pour un sur deux, t = 2 pour un sur quatre, 
r = 3 pour un sur huit, et ainsi de suite. De plus, les contraintes dues aux m 
nombres de base rendent les candidatures de moins en moins acceptables. 
Quoi qu'il en soit, les modules mixtes font definitivement partie de la 



technologie GQ2 ; le type du module G02 n'affecte en rien les protocoles 
d'authentification dvnamique et de signa ture num6rique. 
La figure 3 illustre = sur un cycle avec un facteur premier p congru a 
9 (mod 16), c'est-k-dire, r = 3, « = 0, ainsi que A ^ 3. On peut noter que : 

£-1 

b = y * (mod p) 
b' s 1 (mod p) 
= -1 (mod p) 

La figure 4 illustre G, = sur une branche avec un facteur premier p congru 

a 65 (mod 128), c'est-a-dire, t=6, ainsi que = 4 et w = 2. 

Void un premier jeu de cles GQ2 avec k =6, soit v = 64, m = 3, soit trois 

nombres de base : gj = 3, = 5 et §3 = 7, et / = 3, soit un module a trois 

facteurs premiers : deux congrus ^ 3 (mod 4) et un a 5 (mod 8). Notons que 

g = 2 est incompatible avec un facteur premier congru h. 5 (mod 8). 

p^ = 03CD2F4F21E0EAD60266D5CFCEBB6954683493E2E833 

(2 I pO = -1 ; (3 I pO = +1 ; (5 I p,) = -1 ; (7 | p,) = +1 

P2 = 0583B097E8D8D777BAB3874F2E76659BB614F985EC1B 

(2 I pO = -1 ; (3 I pO = -1 ; (5 I pi) = +1 ; (7 1 a) = -1 

P3 = 0C363CD93D6B3FEC78EE13D7BE9D84354B8FDD6DA1FD 

(2 1 pO = -1 ; (3 I pi) = +1 ; (5 | p,) = +1 ; (7 | p,) = +1 

n=Px.P2-P3 = FFFF81CEA149DCF2F72EB449C5724742FE2A3630D9 

02CC00EAFEE1B957F3BDC49BE9CBD4D94467B72AF28CFBB26144 

CDF4BBDBA3C97578E29CC9BBEE8FB6DDDD 

Q, 1 = 0279C60D216696CD6F7526E23512DAE090CFF879FDDE 

Q2.1 = 7C977FC38F8413A284E9CE4EDEF4AEF35BF7793B89 

23.1 = 6FB3B9C05A03D7CADA9A3425571EF5ECC54D7A7B6F 
Q12 = 0388EC6AA1E87613D832E2B80E5AE8C1DF2E74BFF502 

22.2 = 04792CE70284D16E9A158C688A7B3FEAF9C40056469E 
23,2 = FDC4A8E53E185A4BA793E93BEE5C636DA731BDCA4E 
Qi,3 = 07BC1AB048A2EAFDAB59BD40CCF2F657AD8A6B573BDE 
^2.3 = 0AE8551E116A3AC089566DFDB3AE003CF174FC4E4877 




(23.3 = 01682D490041913A4EA5B80D16B685E4A6DD88070501 

= D7E1CAF28192CED6549FF457708D50A7481572DD5F2C335D8 

C69E22521B510B64454FB7A19AEC8D06985558E764C6991B05FC2A 

C74D9743435AB4D7CF0FF6557 

= CB1ED6B1DD649B89B9638DC33876C98AC7AF689E9D1359E4 

DB 1 7563B9B 3DC582D527 1 949F3DB A5 A70C 1 08F56 1 A274405 A5CB 8 

82288273ADE67353A5BC316C093 

G3 = 09AA6F4930E51A70CCDFA77442B10770DD1CD77490E3398A 

AD9DC50249C34312915E55917A1ED4D83AA3D607E3EB5C8B197 
697238537FE7A0195C5E8373EB74D 

Voici d'autres valeuis possibles pour les composantes li6es au facteur ^3 lequel est 
congru ^ 5 (mod 8). 

Voici une radne carr€e de -1 dans CGCpj) : c = 2*^^*^* (mod = 
0C3000933A854E4CB309213F12CAD59FA7AD775AAC37 
G'1.3 = c-Qi^ (modp3) = 

050616671372B87DEC9AEEAC68A3948E9562F7i4D76C 
Q'2j = c .Q2;iimodp3) = 

06F308B529C9CE88D037D01002E7C838439DACC9F8AA 

015BE9F4B92F1950A69766069F788E45439497463D58 
Ce qui donne : 

Q\ = 676DF1BA369FF306F4A1001602BCE5A(X)8DB82882E87C148D0 
D820A71 1 121961C9376CB45C355945C5F2A9E5AFAAD7861886284A 
9B319F9E466521 1252D74580 

e', = CAEC4F4^l752A228je^B23B16B3921E47C059B9E0G68634G2C 

64D6003156fBOEFlBCO2i«©A25584'€8F®E76AA14AB§G€6OA2D^^ 

565560B27E8AA0E6F4BCA7FE966 

Q\ = 2ACDF5161FE53B68CC7C18B6AFE495815B46599F44C51A6A1 

A4E858B470E8E5C7D2200EF135239AF0B7230388A6A5BDD8EE15B 

0D094FC2BFA890BFDA669D9735 



# 



Voici un second jeu de cles GQ2, avec k=9, soil v = 5 12, m = 2, soit deux nombres 
de base rgf = 2 et = 3, et/= 3, soit un module ^ trois facteurs premiers congrus a 3 
(mod 4). 

p, = 03852103E40CD4F06FA7BAA9CC8D5BCE96E3984570CB 
(2 1 Pi) = -1 ; (3 i Pi) = -1 ; et on trouve bien, (6 1 pj) = +1 . 
P2 = 062AC9EC42AA3E688DC2BC871C8315CB939089B61DD7 
(2 i = +1 ; (3 I P2) = -1 ; et on trouve bien, (6 1 = -1. 

= 0BCADEC219F1DFBB8AB5FE808A0FFCB53458284ED8E3 
(2 I ^73) = -1 ; (3 I pj) = +1 ; et on trouve bien, (6 1 p^) = -1 . 
n =p, .;?3 = FFFF5401ECD9E537F167A80COA9in986F7A8EBA4D 
6698 AD68FF670DE5D9D77DFF007 1 6DC7539F7CBBCF969E73 A0C49 
76 1B276A8E6B6977 A2 1 D5 1 669D039F1 D7 
(2,.i = 0260BC7243C22450D566B5C6EF74AA29F2B927AF68E1 
(22.1 = 0326C12FC7991ECDC9BB8D7C1C4501BE1BAE9485300E 
(2,.2 = 02D0B4CC95A2DD435D0E22BFBB29C59418306F6CD00A 
Q^^ = 045ECB881387582E7C556887784D2671CA118E22FCF2 
(2ij = B0C2B1F808D24F6376E3A534EB555EF54E6AEF5982 

^2.3 = 0AB9F81DF462F58A52D937E6D81F48FFA4A87A9935AB 
i2, = 27F7B9FC82C19ACAE47F3FE9560C3536A7E90F8C3C51E13C 
35F32FD8C6823DF753685DD63555D2146FCDB9B28DA367327DD6 
EDDA092D0CF108D0AB708405DA46 

Q2 = 230D0B9595E5AD388F1F447A699189O5EBFB0591O582E5BA64 
9C94B OB 266 1E49DF3C9B42FEF1 F37 A7909B 1 C2DD54 1 1 3 ACF87C6 
Fl 1F19874DE7DC5D1DF2A9252D 

Dans la presente demande, on a d^crit un proc6d6 pour produire des jeux de cl6s 
GQ2, a savoir, des modules n et des couples de valeurs publique G et priv6e Q dans 
le cas ou I'exposant v est egal a 2*. Ces jeux de cles sont utilises pour mettre en 
oeuvre un proced6 destine a prouver Tauthenticite d'une entit6 et/ou rint6grit6 et/ou 
Tauthenticitd d'un message ainsi que cela a 6t6 decrit. 




ANNEXE 2 

Precede, systeme, dispositif destines a prouver Fauthenticite d'une 
entite et/ou I'integrite et/ou Pauthenticite d'un:.tniessage. 
La pr€sente invention concerne les precedes, les- systemes ainsi que les 
dispositifs destines a prouver rauthenticit6 d'une entite et/ou I'integrite 
et/ou I'authenticite d'un message. 

Le brevet EP 0 3 1 1 470 B 1 dont les inventeurs sent Louis Guillou et Jean- 
Jacques Quisquater decrit un tel procede. On y fera ci-apres reference en le 
designant par les termes : "brevet GQ" ou "procede GQ". Par la suite on 
ddsignera parfois par "GQ2", "invention GQ2" ou "technologic GQ2" la 
presente invention. 

Selon le procede GQ, une entity appelee " autorite de .confiance " attribue 
une identite a chaque entite appelee*" temoin" et en calcule la signature 
RSA;vdurant un processus de personnalisation, rautorite de confiance 
donne identite et signature au temoin. Par la suite, le temoin proclame : 
''Void mon identite ; j' en- connais la signature RSAJ' Le temoin prouve 
sans la reveler^qu'il connait la signature RSA de son identite. Grace a la cle 
publiquewde>verificati©n RSA distribuee par rautorite de confiancev une 
entit6 appelee "controleur" verifie sans en prendre connaissance que la 
signature RSA correspond a 1' identite proclamee. Les mecanismes utilisant 
le procede GQ se d6roulent "sans transfert de connaissance". Selon le 
procede GQ, le temoin ne connait pas la cle privee RSA avec laquelle 
r autorite de confiance signe un grand nombre d'identites. 
Le procede GQ met en oeuvre des calculs modulo des nombres de 512 bits 
ou davantage. Ces calculs concernent des nombres ayant sensiblement la 
meme taille eleves a des puissances de I'ordre de 2^^ + L Or les 
infrastructures microelectconiques existantes, notamment dans^^le domaine 
des cartes bancaires, font usage de microprocesseurs auto-programmables 
monolithiques depourvus de coprocesseurs arithmetiques. La chai:ge de 



travail liee aux multiples operations arithmetiques impliquees par des 
procedes tels que le precede GQ, entraine des temps de calcul qui dans 
certains cas s*averent penalisant pour les consommateurs utilisant des cartes 
bancaires pour acquitter leurs achats. II est rappele ici, qu'en cherchant a 
accroitre la securite des cartes de paieraent, les autorites bancaires posent 
un probleme particulierement delicat a resoudre. En effet, il faut traiter deux 
questions apparerament contradictoires : augmenter la securite en utilisant 
des cles de plus en plus longues et distinctes pour chaque carte tout en 
evitant que la charge de travail n' entraine des temps de calcul prohibitifs 
pour les utilisateurs. Ce probleme prend un relief particulier dans la mesure 
ou, en outre, il convient de tenir compte de I'infrastructure en place et des 
composants microprocesseurs existants. 

La technologie GQ precedemment decrite fait appel a la technologie RSA. 
Mais si la technologie RSA depend bel et bien de la factorisation du module 
n, cette dependance n'est pas une equivalence, loin s'en faut, comme le 
demontrent les attaques dites "multiplicatives" contre les diverses normes 
de signature numerique mettant en oeuvre la technologie RSA. 
L'objectif de la technologie GQ2 est double : d'une part, ameliorer les 
performances par rapport a la technologie RSA ; d' autre part, eviter les 
problemes inherents a la technologie RSA. La connaissance de la cle privee 
GQ2 est equivalente ^ la connaissance de la factorisation du module n. 
Toute attaque au niveau des triplets GQ2 se ram&ne ^ la factorisation du 
module n : il y a cette fois equivalence. Avec la technologie GQ2, la charge 
de travail est reduite, tant pour I'entite qui signe ou qui s'authentifie que 
pour celle qui controle. Grace a un meilleur usage du probleme de la 
factorisation, tant en securite qu'en performance, la technologie GQ2 evite 
les inconvenients pr6sentes par la technologie RSA. 

Precede 

Methode des restes chinois appliquee a la famille GQ 



^ m 



Plus particulierement, 1' invention concerae un precede destine k prouver ^ 
une entite controleur. 



- rauthenticite d'une entite et/ou 

- rintegrite d'un message M assGcie a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres suivants 
ou derives de ceux-ci: 

- m couples de valeurs privees Qi, Q2, ... Qm publiques Gi, G2, ... 
Gm (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi, P2, Pf (f etant superieur ou egal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations du 



Ledit procede met en oeuvre selon les etapes ci-aprfes definies une entite 
appelee temoin disposant des f facteurs premiers pi et/ou des parametres des 
restes chinois des facteurs premiers et/ou du module public n et/ou des m 
valeurs privees Qi et/ou des f.m composantes Qjj (Qt,j = Qimod pj) des 
valeurs privees Qiet de 1' exposant public v . 

Le temoin calcule des engagements R dans I'anneau des entiers modulo n. 
Chaque engagement est calcule en effectuant des operations du type 



ou r, est un alea associe au nombre premier pi tel que 0 < Fj < Pi , chaque Fj 
appartenant a une collection d'aleas {ri , r2 , ... r^} , puis en appliquant la 
methode des restes chinois, 

Ainsi, le nombre d' operations arithmetiques modulo Pi a effectuer pour 
calculer chacun des engagements Ri gour chacun des Pi est^redudt par 
rapport a ce qu'il serait si les operations etaient effectuees modulo n. 
Le temoin regoit un ou plusieurs defis d. Chaque defi d comportant m 



type: 



Gi . Qi'' = 1 . mod n ou Gj s Qj^ mod n ; 



Ri = r|^mod Pi 



entiers dj ci-apres appeles defis elementaires. Le temoin calcule a partir de 
chaque defi d une reponse D, en effectuant des operations du type : 

Di ^ . . Q,^ ^. ... Qi,„ mod ps 
puis en appliquant la methode des testes chinois. 

Ainsi, le nombre d' operations arithmetiques modulo Pi a effectuer pour 
calculer chacune des reponses Di pour chacun des pi est reduit par rapport a 
ce qu'il serait si les operations etaient effectuees nnodulo n. 
Le precede est tel qu'il y a autant de r6ponses D que de defis d que 
d* engagements R, chaque groupe de nombres R, d, D constituant un triplet 
note {R, d, D}. 

Cas de la preuve de I'authenticite d'line entite 
Dans une premiere variante de realisation le procede selon Tinvention est 
destine a prouver Tauthenticite d'une entite appelee demons trateur a une 
entite appelee controleur. Ladite entite demonstrateur comprend le temoin. 
Lesdites entites demonstrateur et controleur executent les etapes suivantes: 

• etape 1 : acte d'engagement R 

A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specific ci-dessus. Le demonstrateur transmet au controleur tout 
ou partie de chaque engagement R. 

• etape 2 : acte de defi d 

Le controleur, apres avoir regu tout ou partie de chaque engagement R, 
produit des defis d en nombre egal au nombre d' engagements R et transmet 
les defis d au demonstrateur. 

• etape 3 : acte de reponse D 

Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specific ci-dessus. 

• etape 4 : acte de contrdle 

Le demonstrateur transmet chaque reponse D au controleur. 

Premier cas : le demonstrateur a transmis une partie de chaque 



engagement R 

Dans le cas ou le demonstrateur a transmis une partie de chaque 
engagement R, le controleur, disposant des m valeurs publiques Gi, G2, ... 
G„, calcule k partir de chaque defi d et de chaque reponse D un 
engagement reconstruit R' satisfaisant k une relation du type : 

R' = Gi ^^ G2 G„ ^™ -D" mod n 
ou a une relation du type, 

R' = D V Gi G2 . . . Gn, ^"^ . mod n . 
Le controleur verifie que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R qui lui a 6t6 transmis. 
Deuxieme cas : le demonstrateur a transmis I'integralite de chaque 
engagement R 

Dans le cas ou le demonstrateur a transmis Tintegralite de chaque 
engagement R, le controleur, disposant des m valeurs publiques Gi, G2, ... 
Gro, verifie que chaque engagement R satisfait.a une relation du type : 

R = Gi . G2 ... G„ . mod n 
ou a une relation du type, 

R = / Gi G2 ... G„ ^-"Tmod n . 
Cas de la preuve de Pintegrite d'wi message 
dans une deuxieme variante de realisation susceptible d'etre combinee avec 
la premiere, le precede selon 1' invention est destine a prouver a une entite 
appeiee controleur Tintegrite d'un message M associe & une entite appelee 
demonstrateur. Ladite entite demonstrateur comprend le temoin. 
Lesdites entites demonstrateur et controleur executent les etapes suivantes: 

• etape 1 : acte d'engagement R 

A chaque appjelv le temoin calcule chaque engagement R en appliquant le 
processus^speeiifi#(si-dessus. 

• etape 2 : acte de defi d 

Le demonstrateur applique une fonction de hachage h ayant comme 



arguments le message M et tout ou partie de chaque engagement R pour 
calculer au moins un jeton T. Le demonstrateur transmet le jeton T au 
controleur. Le controleur, apres avoir re9U un jeton T, produit des defis d en 
nombre egal au nombre d' engagements R et transmet les defis d a u 
demonstrateur, 

• etape 3 : acte de reponse D 

Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specific ci-dessus. 

• etape 4 : acte de contrdle 

Le demonstrateur transmet chaque reponse D au controleur Le controleur, 
disposant des m valeurs publiques Gj, G2, ... G^, calcule a partir de chaque 
defi d et de chaque reponse D un engagement reconstruit R' satisfaisant k 
une relation du type : 

R' = Gi G2 ... G„ . mod n 
ou a une relation du type : 

R' = DV Gi . G2 ^. ... G^ ^ . mod n. 
Puis, le controleur applique la fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement 
reconstruit R' pour reconstruire le jeton T\ Puis, le controleur verifie que le 
jeton est identique au jeton T transmis. 

Signature numerique d'un message et preuve de son authenticite 

Operation de signature 
Dans une troisieme variante de realisation susceptible d'etre prise en 
combinaison avec Tune et/ou I'autre des autres variantes de realisation, le 
procede selon Tinvention est destine a produire la signature numerique d'un 
message M par une entite appelee entite signataire. Ladite entite signataire 
comprend le temoin. 

Ladite entite signataire execute une operation de signature en vue d'obtenir 
un message signe comprenant : 



• m 



- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D. 

Ladite entit6 signataire ex6cute T operation de signature en mettant en 
oeuvre les etapes suivantes : 

• etape 1 : acte d'engagement R 

A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specific ci-dessus. 

• etape 2 : acte de defi d 

Le signataire applique une fonction de hachage h ayant comme arguments 
le message M et chaque engagement R pour obtenir un train binaire. Le 
signataire extrait de ce train binaire des defis d en nombre 6gal au nombre 
d' engagements R. 

• etape 3 : acte de reponse D 

Le temoin calcule des reponses D a partir des ddfis d en appliquant le 
processus specifie ci-dessus. 

Operation de controle 
Pour I'authenticite du message M, une entite, appelee controleur, controle 
le message signe. Ladite entite controleur disposant du message signe 
execute une operation de contrSle en procedant comme ci-apres decrit, 
• cas ou le controleur dispose des engagements R, des defis d, des 
reponses 

Dans le cas ou le contr61eur dispose des engagements R, des defis d, des 
reponses D, le controleur verifie que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R = Gi G2 ^. . . . G„, ^'"^ . mod n 
ou a des relations du type : 

R=DVGi^^G2^.... G„^. modn 
Puis, le controleur verifie que le message M, les defis d et les engagements 



R satisfont a la fonction de hachage 

d = h(M,R) 

• cas ou le controleur dispose des defis d et des reponses D 

Dans le cas ou le controleur dispose des defis d et des reponses D, le 
controleur reconstruit, a partir de chaque defi d et de chaque reponse D, des 
engagements R' satisfaisant a des relations du type : 

R ' = Gi ^^ G2 . . . G„, ^ . mod n 
ou a des relations du type : 

R'sDVGl^^G2^.••. G„^. modn 
Puis, le controleur verifie que le message M et les d6fis d satisfont a la 
fonction de hachage 

d = h (M, RO 

• cas ou le controleur dispose des engagements R et des reponses D 

Dans le cas ou le controleur dispose des engagements R et des reponses D, 
le controleur applique la fonction de hachage et reconstruit d' 

d' = h (M, R) 

Puis, le controleur verifie que les engagements R, les defis d' et les 
reponses D, satisfont a des relations du type : 

R s Gi . Gj ... G„ ^ ™ . mod n 
ou k des relations du type : 

R = DV Gi . G2 ^ ^ G„ . mod n. 
Cas ou on choisit la valeur privee Q en premier et ou on deduit la 
valeur publique G de la valeur privee Q 

Dans certains, notamment afin de faciliter la production des couples de 
valeurs privees Q et publiques G, on choisit la valeur privee Q en premier 
et on deduit la valeur publique G de la valeur privee Q. Plus 
particulierement dans ce cas, le procede selon T invention est tel que les 
composantes Qi, 1 » Qi,2 9 ••• Qi, r des valeurs privees Q,^ sont des nombres 
tires au hasard a raison d'une composante Qij(Qi,j = Qimod pj) pour 



chacun desdits facteurs premiers pj. Lesdites valeurs privees Qi peuvent 
etre calculees a partir desdites composantes Qi, i , Qi, 2 •.. Qi, r par la 
m^thode des restes chinois. Lesdites valeurs publiques Gj, sont calculees en 
effectuant des operations du type 

= Qi,/ mod pj 

puis, en appliquant la methode des restes chinois pour etablir tel que 

Gj . Q/ = 1 . mod n ou Gj s Qj^mod n ; 
Ainsi, le nombre d'operations arithmetiques modulo pj a effectuer pour 
calculer chacun des Gj, j pour chacun des pj est reduit par rapport a ce qu'il 
serait si les operations etaient effectuees modulo n. ^ 
Avantageusement dans ce cas, le proc d selotaeH qpnierentic 
1 exposant public de v rification v est \in nombre premier, 
la s cur it est quivalente la cormaissai®je de la valeur 
Cas o on choisit la valeur publique G en premier et o on 
valeur priv e Q detla valeur publique G. 
De preference dans ce cas, ledit exposant v est tel que 

v =^2 

o k est un param-'tre de s curit plus grand que 1 . 
Ladite valeur publscpJbe OG^ g^rrd un nombre d^itia^ rieur 
auxf facteurs premieps mt • Le nombre degiboste tel que les 
deux qua t ions : 

x^^gimodn et x^s-gjmodn 
n'ont pas de solution en x dans Tanneau des entiers modulo n et tel que 
r equation : 

x"" = gi^ mod n 
a des solutions en x dans I'anneau des entiers modulo n. 

Systeme 

La presente invention conceme egalement un systeme destine k prouver a 
un serveur controletir, 
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- r authenticity d'une entite et/ou 

- rintegrite d'un message M sfssocie a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres suivants 
ou deriv6s de ceux-ci: • 

- m couples de valeurs privees Q^, Qj, Qm et publiques Gi, Ga, ... 
Gm (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi9 P2J ••• Pf (f etant superieur ou egal a 2), 

- un exposant public v • 

Ledit module, ledit exposant et lesdites valeurs etant lies par des relations 
du type : 

Gi . Qi"" = 1 • mod n ou Gi = Qi^'mod n . 
Ledit systeme comprend un dispositif temoin, notamment contenu dans un 
objet nomade se presentant par exemple sous la forme d'une carte bancaire 
a microprocesseur. Le dispositif temoin comporte une zone memoire 
con tenant les f facteurs premiers Pi et/ou des parametres des restes chinois 
des facteurs premiers et/ou du module public n et/ou des m valeurs privees 
Qi et/ou des f.m composantes Qij (Qi,j = Qimod pj) des valeurs privees Qj 
et de r exposant public v. Le dispositif temoin comporte aussi : 

- des moyens de production d*aleas, ci-apres d6sign6s les moyens de 
production d*aleas du dispositif temoin, 

- des moyens de calcul, ci-aprfes designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
Tanneau des entiers modulo n. Chaque engagement est calcule en 
effectuant des operations du type 

Risri^'modpi 

ou Fi est un alea associe au nombre premier Pi tel que 0 < r| < Pi , chaque r| 
appartenant ^ une collection d'aleas {fj , , ... fJ produits par les moyens 
de production d'aleas, puis en appliquant la methode des restes chinois. 



Ainsi, le nombre d' operations arithmetiques modulo Pi a effectuer pour 
calculer chacun des engagements Rj pour chacun des Pi est reduit par 
rapport k ce qu'il serait si les operations etaient effectuees modulo n. 
Le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de r6ception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs d^fis d ; 
chaque defi d comportant m entiers dj ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D en effectuant des operations du type : 

D| = r, . Qi,i . Qi^ ^. ... Qi^ mod 
puis, en appliquant la methode des restes chinois. 

Ainsi, le nombre d' operations arithmetiques modulo Pi a effectuer pour 
calculer rchacune des reponses Dj pour chacun des Pi est reduit par rapport a 
ce qu'il serait si les operations 6taieBtrxeffeGtue©s>^odulo n, 
Ledit dispositif temoin comporte aussi des^moyens de transmission pour 
transmettre un ou plusieurs engagements R et une ou plusieurs reponses D. 
II y a autant de reponses- D que de defis d que d' engagements R. Chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}- 

Cas de la preuve de Tauthenticite d'une entite 
Dans une premiere variante de realisation le systeme selon 1' invention est 
destine a prouver Tauthenticite d'une entit6 appelee demonstrateur a une 
entite appelee controleur. 

Ledit systfeme est tel qu'il comporte un dispositif demonstrateur associe a 
r entite demonstrateur. Ledit dispositif demonstrateur est interconnecte au 
dispositif temoin par des moyens d' interconnexion. II pent se presenter 
notammentsous^la forme de microci^cuits iogiqiugs^^damss^ nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. 
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Ledit sy Sterne comporte aussi un dispositif contrdleur associe k I'entite 
controleur. Ledit dispositif controleur se presente notamment Sous la forme 
d'un terminal ou d'un serveur distant. Ledit dispositif controleur comporte 
des moyens de connexion pour le connecter electriquement, 
61ectromagn6tiquement, optiquement ou de maniere acoustique, notamment 
via un r6seau de communication informatique, au dispositif demonstrateur. 
Ledit systeme permet d'ex6cuter les 6tapes suivantes : 

• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
t^moin calculent chaque engagement R en appliquant le processus sp6cifi6 
ci-dessus. Le dispositif t6moin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
d6monstrateur, via les moyens d' interconnexion. Le dispositif 
d6monstrateur comporte aussi des moyens de transmission, ci-apres designe 
les moyens de transmission du dispositif d6monstrateur, pour transmettre 
tout ou partie de chaque engagement R au dispositif controleur, via les 
moyens de connexion. 

• etape 2 : acte de defi d 

Le dispositif controleur comporte des moyens de productions de d6fis pour 
produire, apres avoir re^u tout ou partie de chaque engagement R, des d6fis 
d en nombre egal au nombre d' engagements R. Le dispositif contrSleur 
comporte aussi des moyens de transmission, ci-apres designes les moyens 
de transmission du controleur, pour transmettre les defis d au 
demonstrateur, via les moyens de connexion. 

• etape 3 : acte de reponse D 

Les moyens de reception des defis d du dispositif t6moin, re§oivent chaque 
d6fi d provenant du dispositif demonstrateur, via les moyens 
d' interconnexion. Les moyens de calcul des reponses D du dispositif temoin 



calculent les reponses D a partir des defis d en appliquant le processus 
specific ci-dessus. ^ 
• etape 4 : acte de contrdle 
Les moyens de transmission du demonstrateur transmettent ehaque reponse 
D au controleur. Le dispositif controleur comporte aussi 

- des moyens de calcul, ci-apr&s designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 

Premier cas : le demonstrateur a transmis une partie de chaque 
engagement R 

Dans le cas oii les moyens de transmission du demonstrateur ont transmis 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques Gi, G2, ... G^, calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R' = Gi . G2 ... G„ . mod n 
ou a une relation du type, 

R' = DV Gi . G2 ... G„, . mod n • 
Les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R regu. 
cas ou le demonstrateur a transmis Tintegralite de chaque engagement 
R 

Dans le cas ou les moyens de transmission du demonstrateur ont transmis 
rintegralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
Gj, G2, ... G„, verifient que chaque engagement R satisfait a une relation 
du type : 

R = Gi G2 . . . G„ ^ . mod n 
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ou a une relation du type, 

R = D V Gi G2 . . . G^"^ . mod n . 
Cas de la preuve de rintegrite d'un message 
Dans une deuxieme variante de realisation susceptible d'etre combinee avec 
la premiere, le systeme selon T invention est destine a prouver a une entite 
appelee controleur I'integrite d'un message M associe a une entite appelee 
demonstrateur. Ledit systeme est tel qu'il comporte un dispositif 
demonstrateur associe a T entite demonstrateur. Ledit disppsitif 
demonstrateur est interconnect^ au dispositif t^moin par des moyens 
d' interconnexion. II pent se presenter notamment sous la forme de 
microcircuits logiques dans un objet nomade par exemple sous la forme 
d'un microprocesseur dans une carte bancaire a microprocesseur. Ledit 
systeme comporte aussi un dispositif controleur associe ^ T entite 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un terminal ou d'un serveur distant. Ledit dispositif controleur comporte 
des moyens de connexion pour le connecter electriquement, 
electromagn^tiquement, optiquement ou de maniere acoustique, notamment 
via un reseau de communication informatique, au dispositif demonstrateur. 
Ledit systeme execute les etapes suivantes : 

• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d'interconnexion, 

• etape 2 : acte de defi d 

Le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif demonstrateur, appliquant une 



fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au raoins un jeton T. Le 
dispositif ddmonstrateur comporte aussi des moyens de transmission, ci- 
apres d6sign6s les -.moyens. de transmission du demonstrateur, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
controleur. Le dispositif controleur comporte aussi de& moyens de 
productions de d6fis pour produire, apres avoir regu le jeton T, des d6fis d 
en nombre egal au nombre d' engagements R, Le dispositif controleur 
comporte aussi des moyens de transmission, ci-apres designes les moyens 
de transmission du dispositif controleur, pour transmettre les d6fis d au 
demonstrateur, via les moyens de connexion. 

• etape 3 : acte de-reponse D 

Les moyens de reception des ddfis d du dispositif temoin, regoivent chaque 
d6fi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion. Les moyens de calcul des r^ponses D du dispositif t6moin 
calculent les reponses D a partir des d^fis d en appliquant le processus 
sp6eifie ci-dessus. 

• etape 4 : acte de^^ontrdle 

Les moyens de transmission du d6monstrateur transmettent chaque reponse 
D au contrSleur. Le dispositif controleur comporte aussi des moyens de 
calcul, ci-apr^s d6sign6s les moyens de calcul du dispositif controleur, 
disposant des m valeurs publiques Gj, Gj, ... G„, pour d'une part, calculer 
k partir de chaque defi d et de chaque r6ponse D un engagement reconstruit 
R' satisfaisant h une relation du type : 

R'sGi'^^Ga^^ ... G„,'*™.D'modn 
ou a une relation dustype : 

R^s W J Gi ^^ . G2 ... G™ . mod n 
puis d' autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 



reconstruit R', un jeton T'. 

Le dispositif contrSleur comporte aussi des moyens de comparaison^ ci- 
apres designes les moyens de comparaison du dispositif contrdleur, pour 
comparer le jeton au jeton T re^u. 

Signature numerique d'un message et preuve de son authenticite 

Operation de signature 
Dans une troisieme variante de realisation, susceptible d'etre combinee a 
Tune et/ou a Tautre des deux autres, le systeme selon Tinvention est destine 
a produire la signature numerique d'un message M, ci apres designe le 
message signe, par une entitd appel^e entite signataire. 
Le message signe comprend : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D . 

Ledit systeme est tel qu'il comporte un dispositif signataire associe a 
r entite signataire. Ledit dispositif signataire est interconnecte au dispositif 
temoin par des moyens d' interconnexion et peut se presenter notamment 
sous la forme de microcircuits logiques dans un objet nomade par exemple 
sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur, 

Ledit systeme permet d'executer les etapes suivantes : 
• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif signataire, via les 
moyens d' interconnexion. 



• etape 2 : acte de def! d 

Le dispositif signataire comporte des moyens de calcul, ci-apres d^signes 
les moyens de calcul du dispositif signataire, appliquant une fonction d 
hacfeag© h ay ant comme arguments le message M>et tout ou* partie de 
chaque engagement R pour calculer un train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d' engagements R. 

• etape 3 : acte de reponse D 

Les moyens de reception des defis d du dispositif temoin, re^oivent chaque 
d^fi d provenant du dispositif signataire, via les moyens d' interconnexion. 
Les moyens de calcul des reponses D du dispositif temoin calculent les 
r6ponses D ^ partir des defis d en appliquant le processus sp6cifi6 ci-dessus. 
Le dispositif temoin comporte des moyens de.;transmission, ci-apr&s 
design^s les-moy^ens de^^transuMssion du disppsitif t6ia0inypour«transmettre 
les.rep©nses D au dispositif signataire, via les mc^,ens»^'ijntereonnexion. 

Operation'4e contEoles".,,* 
PouFj-prouver*:!' authentdcite 'du message., M*f parwiunen .entite appelee 
conterdleursicontF^le le message sign6w 

Le systfeme-eomporte-tan dispositif- contrdleur' assocde-a Kentite-eontroleur. 
Ledit dispositif controleur se presente notamment sous la forme d'un 
terminal ou d'un serveur distant. Ledit dispositif contrSleur comporte des 
moyens de connexion pour le connecter electriquement, 
61ectromagnetiquement, optiquement ou de maniere acoustique, notamment 
via un reseau de communication informatique, au dispositif demonstrateur. 
Ledit dispositif signataire associe a I'entite signataire comporte des moyens 
de transmission, ci-apres designes les moyens de transmission du dispositif 
signataire, pour transmettre au dispositif controleur j le message signe, via 
les-^moyena^deH ConnesBion. Ainsi, le dispositift-contotleur dispose d'un 
message signe comprenant: 
- le message M, 




- les d6fis d et/ou les engagements R, 

- les reponse D. 

Le dispositif controleur comporte : 

- des moyens de- calcul, ci-apr^s designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 

• cas ou le contrdleur dispose des engagements R, des defis d, des 
reponses D, 

Dans le cas oil le dispositif controleur dispose des engagements R, des d6fis 
d, des reponses D, les moyens de calcul et de comparaison du dispositif 
contr61eur v6rifient que les engagements R, les d6fis d et les r6ponses D 
satisfont a des relations du type 

R = Gi G2 ... G„ . mod n 

ou a des relations du type : 

R = DV Gi . G2 ... G™ . mod n 

Puis, les moyens de calcul et de comparaison du dispositif contr61eur 

verifient que le message M, les d6fis d et les engagements R satisfont a la 

fonction de hachage 

d = h (M, R) 

• cas ou le controleur dispose des defis d et des reponses D 

Dans le cas oil le dispositif contr61eur dispose des d6fis d et des r6ponses D, 
les moyens de calcul du dispositif controleur calculent, k partir de chaque 
defi d et de chaque reponse D, des engagements R' satisfaisant a des 
relations du type : 

R' s Gi . G2 ''^ ... G„ . P' mod n 

ou h. des relations du type : 

R'sDVGi^^Gz'^.... G„*». modn 
Puis, les moyens de calcul et de comparaison du dispositif controleur v6rifie 



que le message M et les defis d satisfont a la fonction de hachage 

d = h (M, R') 

• cas ou le controleur dispose des engagements R et des reponses D 
Dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, les moyens de calcul du dispositif contr61eur appliquent la 
fonction de hachage et calculent d* tel que 

d'=h(M,R) 

Puis, les moyens de calcul et de comparaison du dispositif contr61eur 
verifient que les engagements R, les d^fis d' et les reponses D, satisfont a 
des relations du type : 

R s Gi . G2 ... G„ . mod n 
ou k des relations du type : 

R s DV Gi . Gj ... G„, ^'^ . mod n 
Cas oil on choisit la valeur priv^e Q .en premier ^et ou on deduit la 
valeur publique G de la valeur privee Q 

Dans certains, notamment afin de faciliter la production des couples de 
valeurs privees Q et publiques G, on choisit la valeur privee Q en premier 
et on deduit la valeur publdque^ G ^.de la valeup privee. Q. Plus 
particulierement dans ce cas, le systeme selon 1' invention est tel que les 
composantes Qi,i , Qi,2 > ••• Qi,f des valeurs privees Qi, sent des nombres 
tir6s au hasard ^ raison d'une composante Qij(Qj,j = Qjmod pj) pour 
chacun desdits facteurs premiers pj. Lesdites valeurs privees Q, peuvent 
etre calculees a partir desdites composantes Qi, 1 , Qi,2 ••• Qi, rpar la 
m6thode des restes chinois. Lesdites valeurs publiques Gj, sont calcul6es en 
effectuant des operations du type 

Gi,j = Qi.r Pj 
puis, en appliquant la methode^des restes^ehinois pour etablir Gj tel que 

G|. Qi' = 1 . mod n ou G, = mod n ; 
Ainsi, le nombre d' operations arithmetiques modulo Pi a effectuer pour 



calculer chacun des Gjj pour chacun des pj est reduit par rapport a ce qu'il 
serait si les operations etaient effectuees modulo n. 

Avantageusement dans ce cas, le syst me selotoelL qpm^entic 
1 exposant public de v rification v est un nombre premier, 
la s curit est quivalente la connaissaiSse de la valeur 
Cas o on choisit la valeur publique G en premier et o oi 
valeur priv e Q de la valeur publique G. 
De preference dans ce cas, ledit exposant v est tel que 

V =^ 

o k est un param tre de s curit plus grand que 1. Ladite 
Gi est le girrd un nombre d^itiaEfe rieur iiaxtSurs premiers 
Pi. P2 Pf • nombre d^ilsfflte tel que les deux quations : 

x^ = gimodn et x^s-gjmodn 

n'ont pas de solution en x dans I'anneau des entiers modulo n et tel que 
r equation : 

= gi^ mod n 

a des solutions en x dans Tanneau des entiers modulo n . 

Dispositif terminal 
Methode des restes chinois appliquee a la famille GQ 
L' invention conceme aussi un dispositif terminal associe a une entile. Le 
dispositif terminal se presente notamment sous la forme d'un objet nomade 
par exemple sous la forme d'une carte bancaire ^ microprocesseur. Le 
dispositif terminal est destine ^ prouver a dispositif controleur : 

- I'authenticite d'une entite et/ou 

- Tintegrite d'un message M associe a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres suivants 
ou derives de ceux-ci: 

- m couples de valeurs privees Qi, Qij Qm publiques Gi, G2, •.. 
Gm (m 6tant superieur ou egal a 1), 
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- un module public n constitue par le produit de f facteurs premiers 
Pi5 P2> Pf (f etant superieur ou egal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations du 
type: 

Gi, = 1 . mod n ou G| s Qj^mod n , 

Ledit dispositif terminal comprend un dispositif temoin comportant une 
zone memoire contenant les f facteurs premiers Pi et/ou les parametres des 
restes chinois des facteurs premiers et/ou du module public n et/ou les m 
valeurs privees Qi et/ou les f,m composantes Qij (Qi, j = Qimod pj) des 
valeurs privees Qiet de T exposant public v. Le dispositif temoin comporte 
aussi : 

- des moyens de production d'al6as, ci-aprds designes les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-aprfes designes les moyens de calcul des 
engagements R du dispositif t6moin. 

Les moyens de calcul permettent de calculer des engagements R dans 
I'anneau des entiers modulo n. Chaque engagement est calcule en 
effectuant des operations du type 

Ri = mod Pi 

ou Ti est un alea associe au nombre premier pi tel que 0 < < Pi , chaque Vi 
appartenant a une collection d'aleas {fj , , ... } produits par les moyens 
de production d'al6as, puis en appliquant la methode des restes chinois. 
Ainsi, le nombre d'operations arithmetiques modulo Pi a effectuer pour 
calculer chacun des engagements Ri pour chacun des pi est reduit par 
rapport a ce qu'il serait si les operations etaient effectuees modulo n. 
Le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d. 



chaque d6fi d comportant m entiers d, ci-apres appeles defis €16mentaires ; 

- des moyens de calcul, ci-apres d6sign6s les moyens de calcul des 
r6ponses D du dispositif t^moin, pour calculer a partir de chaque d6fi d una 
r6ponse D en effectuant des operations du type : 

D, = . Q,.i " . Q,a ^. ... Qi^ *" mod p, 
puis, en appliquant la m6thode des restes chinois. 

Ainsi, le nombre d'operations arithmetiques modulo pi a effectuer pour 
calculer chacune des r6ponses D, pour chacun des pi est reduit par rapport h. 
ce qu'il serait si les operations etaient effectu€es modulo n. 
Le dispositif t6moin comporte aussi des moyens de transmission pour 
transmettre un ou plusieurs engagements R et une ou plusieurs reponses D. 
II y a autant de reponses D que de d6fis d que d'engagements R. Chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

Cas de la preuve de rauthenticite d'une entite 
Dans une premiere variante de realisation, le dispositif terminal selon 
I'invention est destine a prouver I'authenticite d'une entit6 appel6e 
demonstrateur ^ une entit6 appelee controleur. 

Ledit dispositif terminal est tel qu'il comporte un dispositif d6monstrateur 
associ6 h I'entite demonstrateur. Ledit dispositif demonstrateur est 
interconnecte au dispositif t6moin par des moyens d'interconnexion. II pent 
se presenter notamment sous la forme de microcircuits logiques dans un 
objet nomade par exemple sous la forme d'un microprocesseur dans une 
carte bancaire a microprocesseur. 

Ledit dispositif demonstrateur comporte des moyens de connexion pour le 
connecter 61ectriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, ^ un dispositif controleur associ^ k I'entite contr61eur. Ledit 
dispositif controleur se pr6sente notamment sous la forme d'un terminal ou 
d'un serveur distant. 
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Ledit dispositif terminal permet d'executer les etapes suivantes : 

• etape 1 : acte d 'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque. engagement R en appliquant le processus specific 
ci-dessus. 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d'interconnexion. Le dispositif demonstrateur comporte aussi des 
moyens de transmission, ci-apres designes les moyens de transmission du 
demonstrateur, pour transmettre tout ou partie de chaque engagement R au 
dispositif controleur, via les moyens de connexion. 

• etape 2 et 3 : acte de defi d, acte de reponse D 

Les moyens de ^reception des defis d du dispositif temoin, regoiyent chaque 
d6fi d provenant du dispositif controleur via les moyens de connexion entre 
le dispositif controleur et le dispositif demonstrateur et via les moyens 
d' interconnexion entre le dispositif demonstrateur et le dispositif temoin. 
Les moyens de calcuLdes reponses -D du dispositif temoin ealculent les 
reponses D a partir des defis d en appliquant le processus specific ci-dessus. 

• etape 4 : acte de contrdle 

Les moyens de transmission du demonstrateur transmettent chaque reponse 
D au dispositif controleur qui precede au controle, 

Cas de la preuve de I'integrite d'un message 
Dans une deuxieme variante de realisation, susceptible d'etre combinee aux 
autres variantes de realisation, le dispositif terminal selon T invention est 
destine a prouver a une entite appelee controleur Tintegrite d'un message M 
associe a une entite appelee demonstrateur. Ledit dispositif terminal est'-tel 
qu'il comporte un dispositif demonstrateur associe a Tentite demonstrateur. 
Ledit dispositif demonstrateur est interconnecte au dispositif temoin par des 
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moyens interconnexion- II peut se presenter notamment sous la forme de 
microcircuits logiques dans un objet nomade par exemple sous la forme 
d'un microprocesseur dans una carte bancaire a microprocesseur. Ledit 
dispositif demonstrateur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif controleur associe a I'entite controleur. Ledit 
dispositif controleur se presente notamment sous la forme d'un terminal ou 
d'un serveur distant 

Ledit dispositif terminal permet d'executer les etapes suivantes : 

• etape 1 : acte d 'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d' interconnexion. 

• etape 2 et 3 : acte de defi d, acte de reponse 

Le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif demonstrateur, appliquant 
fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T, Le 
dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
controleur. 

Ledit dispositif controleur produit, apres avoir regu le jeton T, des defis d 
en nombre egal au nombre d' engagements R. 

Les moyens de reception des defis d du dispositif temoin, re5oivent chaque 



defi d provenant du dispositif demonstrateur, via les moyens 
d' interconnexion entre le dispositif demonstrateur et le dispositif temoin. 
Les moyens de caleul des reponses D du dispositif temoin caleulentles 
reponsesD a partdr des defis-d en appliquant le processus speci€6 ci-dessus. 

• etape 4 : acte de controle 
Les moyens de transmission du demonstrateur transmettent chaque reponse 
D au dispositif controleur qui procede au controle. 

Signature numerique d'un message et preuve de son authenticite 

Operation de signature 
Dans une troisieme variante de realisation, susceptible d'etre combinee aux 
autres, le dispositif terminal selon T invention est destine a produire la 
signature numerique d'un message M, ci apres design^ le message sign6, 
par une entite appel^e entite signataire. 
Le message sign6 comprend : 

- le message. Mi ^ 

- les d6fis d et/ou les engagements R, - 

- les reponses D. 

Ledit dispositif terminal etant tel qu'il comporte un dispositif signataire 
associe a 1' entite signataire. Ledit dispositif signataire est interconnecte au 
dispositif temoin par des moyens d' interconnexion. II peut se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. Ledit dispositif signataire comporte des moyens de 
connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 
communication informatique, a un dispositif controleur associe k Tentite 
controleur. Ledit dispositif controleuo? se presentei^notamment sous la forme 
d'un terminal ou d'un serveur distant. 

Ledit dispositif terminal permet d'executer les etapes suivantes : 



• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. Le dispositif . temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif signataire, 
via les moyens d' interconnexion. 

• etape 2 : acte de defi d 

Le dispositif signataire comporte des moyens de calcul, ci-apres designes 
les moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R pour calculer un train binaire et extraire de ce train 
binaire des d6fis d en nombre 6gal au nombre d' engagements R. 

• etape 3 : acte de reponse D 

Les moyens de reception des defis d regoivent les d6fis d provenant du 
dispositif signataire, via les moyens d' interconnexion. Les moyens de calcul 
des reponses D du dispositif temoin calculent les reponses D a partir des 
defis d en appliquant le processus specific ci-dessus. Le dispositif temoin 
comporte des moyens de transmission, ci-apres designes les moyens de 
transmission du dispositif t6moin, pour transmettre les reponses D au 
dispositif signataire, via les moyens d' interconnexion. 

Dispositif controleur 
Methode des restes chinois appliquee a toute la famille GQ 
L'invention conceme aussi un dispositif controleur. Le dispositif controleur 
pent se presenter notamment sous la forme d'un terminal ou d'un serveur 
distant associe a une entite controleur. Le dispositif controleur est destine a 
prouver a un serveur controleur : 

- i'authenticite d'une entite et/ou 

- I'integrite d'un message M associe k cette entite. 



Cette preuve est 6tablie au moyen de tout ou partie des parametres suivants 
ou derives de ceux-ci: 

- m couples de valeurs priv6es Qi, Q25 ... Qm et publiques Gu G2, ... 
G„ (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi? P2J • Pf (f ^^^^ superieur ou egal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations du 
type : 

G| . Qi"" = 1 . mod n ou Gi s Qj'^mod n ; 
ou Qi d6signe une valeur privee, inconnue du dispositif controleur, associee 
a la valeur publique Gi . 

Cas deila^preuve de Pauthenticite d'lme^entiteii^ f 

Dans une premiere varianje^ei^EealdsatiQni^^ avec 
les autres, le dispositifaGontcMeiur selon l invention «est*^^ prouver 
Tauthenticite d'une- entitejii^^appeleeMdemonstr a uner.en$i;te appelee 
controleur. 

Ledit dispositif con*rdleur comiporte des moyeos de^conmemon pour le 
connecter electriquement, electroniagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif demonstrateur associe a Tentit^ demonstrateur. 
Ledit dispositif controleur permet d*executer les etapes suivantes : 

• etape 1 et 2 : acte d 'engagement R, acte de defi 
Ledit dispositif controleur comporte aussi des moyens de reception de tout 
ou partie des engagements R provenant du dispositif demonstrateur, via les 
moyens de connexion. 

Le dispositif controleuir comporte des moyens de produGfei©ns«de def is pour 
produire, apres avoir re9u tout ou partie de chaque engagement R, des defis 
d en nombre egal au nombre d' engagements R, chaque d6fi d comportant 



m entiers di , ci-apres appeles defis 61ementaires. 

Le dispositif controleur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif controleur, pour 
transmettre les defis d au demonstrateur, via les moyens de connexion. 

• etapes 3 et 4 : acte de reponse, acte de controle 
Le dispositif controleur comporte aussi 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion, 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres d6sign6s les moyens de 
comparaison du dispositif contrSleur. 

Premier cas : le demonstrateur a transmis une partie de chaque 
engagement R 

Dans le cas ou les moyens de reception du dispositif controleur ont regus 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques Gi, Gj, ... G„, calculent a 
partir de chaque defi d et de chaque r6ponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R' = Gi G2 ... G™ . mod n 
ou a une relation du type, 

R' = DV Gi . G2 ... G„ ^"^ . mod n . 
Les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R regu. 
Deuxieme cas : le demonstrateur a transmis Tintegralite de chaque 
engagement R 

Dans le cas ou les moyens de reception du dispositif controleur ont regus 
I'integralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 



• # 



Gi, G2, ... Gm, verifient que chaque engagement R satisfait a une relation 
du type : 



Dans une deuxifeme variante de realisation, susceptible d'etre combinee 
avec les autres, le dispositif controleur selon T invention est destine k 
prouver I'integrite d'un message M associe a une entite appelee 
demonstrateur. 

Ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagn6tiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique^ h un dispositif demonstrateur associe a Tentite demonstrateur. 
Ledit dispositif contrdleur permet d'executer les 6tapes suivantes : 

• etapes 1 et 2 : acta d 'engagement R, acte de defi 

Ledit dispositif controleur comporte aussi des moyens de reception de 
jetons T provenant du demonstrateur, via les moyens de connexion, Le 
dispositif controleur comporte aussi des moyens de productions de defis 
pour produire, apres avoir regu le jeton T, defis d en nombre egal au 
nombre d' engagements R , chaque defi d comportant m entiers, ci-apres 
appeles les defis elementaires. Le dispositif controleur comporte aussi des 
moyens de transmission, ci-apres designes les moyens de transmission du 
dispositif controleur, pour transmettre les defis d au demonstrateur, via les 
moyens de connexion. 

• etapes 3 et 4 : acte de reponse acte de controle 

Le dispositif controleur comporte des moyens de reception des reponses D 
provenant du dispositif demonstrateur, via les moyens de connexion. Le 
dispositif controleur comporte aussi des moyens de calcul, ci-apres designes 




ou k une relation du type^- 



R = DVGi G2 ^. G„ ^ . mod n . 
Cas de la preuve de rintegrite d'un message 



les moyens de calcul du dispositif controleur, disposant des m valeurs 
publiques Gj, Gj, ... G^, pour d'une part, calculer k partir de chaque defi d 
et de chaque reponse D un engagement reconstruit R' satisfaisant a une 
relation du type : 

R' = Gi G2 ^. ... G„ . mod n 

ou a une relation du type : 

R'sDVG/^G2^. ...G^^™. modn 
puis d' autre part, calculer en appliquant la fonction de hachage h ay ant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R', un jeton T\ 

Le dispositif controleur comporte aussi des moyens de comparaison, ci- 
apres designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T' au jeton T regu. 

Signature numerique d'un message et preuve de son authenticite 
Dans une troisieme variante de realisation, susceptible d'etre combinee aux 
autres variantes de realisation, le dispositif controleur selon T invention est 
destine a prouver 1' authenticite du message M en controlant, par une entite 
appelee contrSleur, le message signe. 

Le message signe, emis par un dispositif signataire associe a une entite 
signataire disposant d'une fonction de hachage h (M, R) ; comprend : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponse D • 

Ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
mani&re acoustique, notamment via un reseau de communication 
informatique, a un dispositif signataire associe k Tentite signataire. Ledit 
dispositif controleur regoit le message signe du dispositif signataire, via les 
moyens de connexion. 



Le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres d6signes^les itnoyens de 
comparaison du dispositif controleur, 

• cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

Dans le cas ou le dispositif controleur dispose des engagements R, des defis 
d, des reponses D, les moyens de calcul et de comparaison du dispositif 
controleur verifient que les engagements R, les defis d et les reponses D 
satisfont a des relations du type 

R = Gi G2 . mod n 

ou a des relations du type : 

RmW/Gr^^ .G2^. ... G„4:"V mod»n * 
Puisoles moyens der.ealcul et de?i;comparais:on du dispositif contrdleur 
verifient que le message>.M, les defis d et les engagejrnents R satisfont a la 
f onction^de^haGhage f 

d=b$MHEt> 

• cas ou le controleur dispose des defis d et des reponses D 

Dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 
les moyens de calcul du dispositif controleur calculent, a partir de chaque 
defi d et de chaque reponse D, des engagements R' satisfaisant a des 
relations du type : 

R' = Gi G2 ^- . . . G„ . mod n 

ou a des relations du type : 

R' = DV Gi . G2 ^. ... G^ ^ . mod n 
Puis, les. moyens de calcuLet de comparaison dut^dispositifc controleur 
verifient que le message M et les defis d satisfont a la fonction de hachage 

d = h(M,R') 
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• cas ou le controleur dispose des engagements R et des reponses D 
Dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = h (M, R) 

Puis, les moyens de calcul et de comparaison du dispositif controleur 
v6rifient que les engagements R, les d6fis d' et les reponses D, satisfont a 
des relations du type : 

R s Gi ^'^ . G2 ... G„ . D" mod n 
ou k des relations du type : 

R = DV Gi . G2 ... G„ . mod n 
Description d taill e de la variante de r alisation 
1 exposant public v = 2 



Description 

Rappelons Tobjectif de la technologie GQ M^authentification dynamique 
d'entites et de messages associes, ainsi que la signature numerique de 
messages. 

La version classique de la technologie GQ fait appel a la technologie RSA. 
Mais, si la technologie RSA depend bel et bien de la factorisation, cette 
dependance n'est pas une equivalence, loin s'en faut, comme le demontrent 
les attaques dites « multiplicatives » contre diverses normes de signature 
numerique mettant en oeuvre la technologie RSA. 

Dans le cadre de la technologie GQ2, la presente partie de F invention porte 
plus precisement sur r utilisation des jeux de cles GQ2 dans le cadre de 
I'authentification dynamique et de la signature numerique. La^echnologie 
GQ2 ne fait pas appel a la technologie RSA. L'objectif est double : d'une 
part, amdliorer les performances par rapport a la technologie RSA ; d' autre 
part, ^viter les problemes inherents a la technologie RSA. La cle privee 
GQ2 est la factorisation du module n. Toute attaque au niveau de striplets 
GQ2 se ramene a la factorisation du module n : il y a cette fois equivalence. 
Avec la technologie^GQ2, la charge^de travail est reduite^^anfeepour Pentite 
qui signe ou qui s'authentifie que pour celle qui controle. Grace a un 
meilleur usage du probleme de la factorisation, tant en securite qu'en 
performance, la technologie GQ2 concurrence la technologie RSA. 
La technologie GQ2 utilise un ou plusieurs petits nombres entiers plus 
grands que 1, disons m petits nombres entiers (m > 1) appeles « nombres de 
base » et notes par g,. Les nombres de base etant fixes de gi k avec 
m> 1, une cle publique de verification <v, n> est choisie de la maniere 
suivante. L'exposant public de verification v est 2^ oil k est un petit nombre 
entier plus grands que 1 (k > 2). Le module public n est^le produit d'au 
moins deux facteurs premiers plus grands que les nombres de base, disons/ 
facteurs premiers (f> 2) notes par pp de pi ... Pf. Les /facteurs premiers 



sont choisis de fagon k ce que le module public n ait les proprietes suivantes 
par ra^ort a chacun des m noxnbres de base de gi ^ 

- D'une part, les equations (1) et (2) n'ont pas de solution en x dans 
I'anneau des entiers modulo n, c'est-a-dire que et -g^ sont deux residus 
non quadratiques (mod n). 

^ = gi (modn) (1) 
:>^=-g^ (modn) (2) 

- D'autre part, Tequation (3) a des solutions en x dans Tanneau des entiers 
modulo n. 

x^'^^gl (modn) (3) 
La cle publique de verification <v, n> etant fix6e selon les nombres de base 
gia gm avec m > 1, chaque nombre de base g, determine un couple de 
valeurs GQ2 comprenant une valeur publique G, et une valeur priv6e Qi : 
soit m couples notes de Gj Qi a G,„ Qm- La valeur publique G,- est le carre du 
nombre de base g, : soit G, = g,^. La valeur priv^e Qi est une des solutions a 
r equation (3) ou bien T inverse (mod n) d'une telle solution. 
De meme que le module n se decompose en/facteurs premiers, Tanneau 
des entiers modulo n se decompose en / corps de Galois, de CG(/?i) h 
CGipf). Voici les projections des equations (1), (2) et (3) dans CG(p;). 
= (modpj) (La) 
x^s-g^ (modpj) (2.a) 

y^"" =gi (modpj) (3.a) 
Chaque valeur privee pent se representer de maniere unique par / 
composantes privees, une par facteur premier : Qij = Qi (mod pj). Chaque 
composante privee Q^- est une solution a I'equation (3. a) ou bien I'inverse 
(mod pj) d'une telle solution. Apres que toutes les solutions possibles a 
chaque equation (3. a) aient ete calculees, la technique des restes chinois 
permet d'etablir toutes les valeurs possibles pour chaque valeur privee Qi a 
partir de/ composantes de Q.^ a Qi^f i Qi = Restes Chinois (Qu* Qa^ QiJ) 



de maniere a obtenir toutes les solutions possibles a I'equation (3). 
Voici la technique des restes chinois : soient deux nombres entiers positifs 
premiers entre eux aetb tels que 0 < a < fc, et deux composantes de 0 a 
a-1 et Xb de 0 k b-1 ; il s'agit de d^terminer»-X= R^tes Chinois (Xg, X^), 
c'est-a-dire, le nombre unique X de 0 a a.b-l tel que =X (mod a) et 
Xfr = X (mod b). Voici le parametre des restes chinois : a= {b (mod a)}~^ 
(mod a). Voici 1' operation des restes chinois : e = (mod a) , 6 = Xa-e ; si 
5 est negatif, remplacer 5 par 5+a \y^a.8 (mod a) ; X = 7. ^? + X^,. 
Lorsque les facteurs premiers sont ranges dans I'ordre croissant, du plus 
petit plus grand p^^ les parametres des restes chinois peuvent 6tre les 
suivants (il y en a /-I, c'est-a-dire, un de moins que de facteurs premiers). 
Le premier parametre des restes chinois est a= {p2 (mod pi)}"' (mod;7i). 
Le second parametre des restes chinois est P= {puPi (P^od pa)}"' (mod p^). 
Le i ieme parametre des restes chinois est A s {/?i.p2- ••• A_i (mod p,)}"' 
(mod Pi). Et ainsi de suite. Ensuite, en /-I operations des restes chinois, on 
etablit un premier resultat (mod p2 fois py) avec le premier parametre,- puis, 
un second r6sultat (mod pi.p2 fois p^) avec le second parametre, et ainsi de 
suite, jusqu'a un resultat (mod pi- ... P/j fois p^, c'esl-a-dire, (mod n). 
II y a plusieurs representations possibles de la cle privee GQ2, ce qui traduit 
le polymorphisme de la cle privee GQ2. Les diverses representations 
s'avferent 6quivalentes : elles se ram^nent toutes i la connaissance de la 
factorisation du module n qui est la veritable cl6 priv6e GQ2. Si la 
representation affecte bien le cnmportement de 1' en tity qui sisne ou qui 
s'authentifie. elle n'affecte pas le comportem ent de rentiteqiii contr61e. 
Voici les trois principales representations possibles de la cl6 privee GQ2. 
V) La representation classique eno-teehnologie GO consiste a stocker m 
valeurs privees fi,- et la ale publiqiue >de ver^icatien <v, n> ; en technologic 
GQ2, cette representation est concurrencee par les deux suivantes. 2) La 
repr6sentation optimal e en termes de charges de travail consiste a stocker 



Texposant public v, les/ facteurs premiers pp m./composantes privees 
et/-l parabm^tres des restes chinois. 3^ La representation optimale en 
termes de taille de cle priv6e consiste a stocker Texposant public v, les m 
nombres de base gi et les /facteurs premiers pp puis, a commencer chaque 
utilisation en etablissant ou bien m valeurs privees Qi et le module n pour se 
ramener a la premiere representation, ou bien m.f composantes privees Qij 
et/-l parametres des restes chinois pour se ramener a la seconde. 
Les entites qui signent ou s'authentifient peuvent toutes utiliser les memes 
nombres de base ; sauf contre indication, les m nombres de base de gx a g^ 
peuvent alors avantageusement etre les m premiers nombres premiers. 
Parce que la s6curite du mecanisme d'authentification dynamique ou de 
signature numerique equivaut ^ la connaissance d*une decomposition du 
module, la technologie GQ2 ne permet pas de distinguer simplement deux 
entites utilisant le meme module. Generalement, chaque entite qui 
s'authentifie ou signe dispose de son propre module GQ2. Toutefois, on 
peut specifier des modules GQ2 a quatre facteurs premiers dont deux sont 
connus d'une entite et les deux autres d'une autre. 

Voici un premier jeu de cles GQ2 avec = 6, soit v = 64, m = 3, soit trois 
nombres de base : gi = 3, g2 = 5 et §3 = 7, et / = 3, soit uh module a trois 
facteurs premiers : deux congrus a 3 (mod 4) et un a 5 (mod 8). Notons que 
g = 2 est incompatible avec un facteur premier congm a 5 (mod 8). 

= 03CD2F4F21E0EAD60266D5CFCEBB6954683493E2E833 
p^ = 0583B097E8D8D777BAB3874F2E76659BB614F985EC1B 
/73 = 0C363CD93D6B3FEC78EE13D7BE9D84354B8FDD6DA1FD 
n =Pi ^P2'P3 = FFFF81CEA149DCF2F72EB449C5724742FE2A3630D9 
02CCOOEAFEE1B957F3BDC49BE9CBD4D94467B72AF28CFBB26144 
CDF4BBDBA3C97578E29CC9BBEE8FB6DDDD 
fill = 0279C60D216696CD6F7526E23512DAE090CFF879FDDE 
(22,1 = 7C977FC38F8413A284E9CE4EDEF4AEF35BF7793B89 



23.1 = 6FB3B9C05A03D7CADA9A3425571EF5ECC54D7A7B6F 
G,^ = 0388EC6AA1E87613D832E2B80E5AE8C1DF2E74BFF502 

22.2 = 04792CE70284©i6E9A158C688A7B^FEAF9G40056469E 
^3.2 = FDG4A8E53E185A4BA793E93BEE5C636DA731BD©A4E . 
2u = 07BC1AB048A2EAFDAB59BD40CCF2F657AD8A6B573BDE 
^23 = OAE8551E116A3AC089566DFDB3AE003CF174FC4E4877 
^3,3 = 01682D490041913A4EA5B80D16B685E4A6DD88070501 

Gi = D7E1CAF28192CED6549FF457708D50A7481572DD5F2C335D8 
C69E2252 1 B5 1 OB 64454FB7 A 1 9 AEC8D06985558E764C699 1 B05FC2A 
C74D9743435AB4D7CF0FF6557 

Q2 = CB1ED6B1DD649B89B9638DC33876C98AC7AF689E9D1359E4 
DB17563B9B3DC582D5271949F3DBA5A70C108F561A274405A5CB8 
82288273 ADE6*73^*A5fi#316G093 

Q3 = 09AA6F493.0E#4 A7iO0GDFA77442B lO77ODmiCD7749.0E3398A 

AD9DC50249.^434294«'Ef§ftl7Al*EDi^D83i^vA3D6Q7E3E^^^ 

697238S37FE7A0495e5E8-3f3EB-'74D: 

Voici un second jeiiis'de-eles GQ2, avee<'fc = 9, soil v = 512, 7n = 2, soit deux 
nombres de base-:' gi »= 2 et«g2r= 3» et/ = "3, soil un, module a trois facteurs 
premiers congrus a 3 (mod 4). 

Pi = 038521 03E40CD4F06FA7BAA9CC8D5BCE96E3984570CB 
P2 = 062AC9EC42AA3E688DC2BC871C8315CB939089B61DD7 
P3 = 0BCADEC219F1DFBB8AB5FE808A0FFCB53458284ED8E3 
n=Pi-P2-P3 = FFFF5401ECD9E537F167A80C0A911 1986F7A8EBA4D 
6698AD68FF670DE5D9D77DFF00716DC7539F7CBBCF969E73A0C49 
761B276A8E6B6977A21D51669D039F1D7 
Qi.i = 0260BC7243C22450D566B5C6EF74AA29F2B927AF68E1 
22.1 = 03266'12Fe7991ECDC9BB8D7ClC4501BE-l?BAE948«300E 
Qi2 = 02D0B4CC95A2DD435D0E22BFBB29C59418306F6CD00A 
= 045ECB881387582E7C556887784D2671CA118E22FCF2 



= B0C2B1F808D24F6376E3A534EB555EF54E6AEF5982 
122.3 = 0AB9F81DF462F58A52D937E^D81F48FFA4A87A9935AB 
(2i = 27F7B9FC82C19ACAE47F3FE9560C3536A7E90F8C3C51E13C 
35F32FD8C6823DF753685DD63555D2146FCDB9B28DA3673.27DD6 
EDDA092D0CF108D0AB708405DA46 

<22 = 230D0B9595E5AD388F1F447A69918905EBFB05910582E5BA64 
9C94B0B2661E49DF3C9B42FEF1F37A7909B1C2DD54113ACF87C6 
Fl 1F19874DE7DC5D1DF2A9252D 
Authentification dynamique 

Le mecanisme d'authentification dynamique est destine a prouver a une 
entit6 appelee controleur T authenticity d'une autre entity appeiee 
demonstrateur ainsi que Tauthenticite d'un eventuel message associ6 M, 
de sorte que le controleur s'assure qu'il s'agit bien du demonstrateur et 
eventuellement que lui et le demonstrateur parlent bien du meme message 
M. Le message associe M est optionnel, ce qui signifie qu'il peut etre vide. 
Le mecanisme d'authentification dynamique est une sequence de quatre 
actes : un acte d'engagement, un acte de defi, un acte de reponse et un acte 
de contrSle. Le demonstrateur j cue les actes d'engagement et de reponse. 
Le controleur joue les actes de defi et de controle. 

Au sein du demonstrateur, on peut isoler un temoin, de maniere a isoler 
les parametres et les fonctions les plus sensibles du demonstrateur, c'est-a- 
dire, la production des engagements et des reponses. Le temoin dispose du 
parametre k et de la cle privee GQ2, c'est-a-dire, de la factorisation du 
module n selon I'une des trois representations evoquees ci-dessus : •les/ 
facteurs premiers et les m nombres de base, • les m.f composantes privees, 
les/facteurs premiers et /-I parametres des restes chinois, • les m valeurs 
priv6es et le module n. 

Le temoin peut correspondre k une realisation particuliere, par exemple, 
• une carte k puce reliee a un PC formant ensemble le demonstrateur, ou 



encore, • des programmes particulierement proteges au sein d'un PC, ou 
encore, • des programmes particulieremenrproteges au sein d'une carte a 
puce. Le t6moin ainsi isole est semblable au temoin defini ci-apres au sein 
du signataire.^ A chaque. execution du mecanisme, le temoin: produitun ou 
plusieurs engagements R, puis, autant de reponses D a autant de d6fis d. 
Chaque ensemble {R, d, D} constitue un triplet GQ2. 
Outre qu'il comprend le temoin, le demonstrateur dispose egalement, le cas 
echeant, d'une fonction de hachage et d'un message M. 
Le controleur dispose du module n et des parametres ketm;\e cas echeant, 
il dispose egalement de la meme fonction de hachage et d'un message M\ 
Le controleur est apte a reconstituer un engagement R' a partir de n'importe 
quel defi d et de n'importe quelle reponse D. Les paramfetres A: et m 
renseignent le contrSleur. Faute d' indication contraire, les m nombres de 
base de k sont les m premiers nombres premiers. Chaque defi d doit 
comporter m defis el6mentaires notes de dx^dn^i un par nombre de base. 
Chaque defi eleraentaire de d^ a d^ doit prendre une valeur de 0 k 2*"^-l (les 
valeurs de v/2 a v-1 ne sont pas utilisees). Typiquement, chaque defi est 
code par m fois k-\ bits (et non pas m fois k bits). Par exemple^ avee-/: = 6 
et m = 3 et les nombres de base 3, 5 et 7, chaque defi comporte 15 bits 
transmis sur deux octets ; avec = 9, m = 2 et les nombres de base 2 et 3, 
chaque defi comporte 16 bits transmis sur deux octets. Lorsque les (/:-l).m 
defis possibles sont egalement probables, la valeur {k-V).m determine la 
securite apportee par chaque triplet GQ2 : un imposteur qui, par definition, 
ne connait pas la factorisation du module n a exactement une chance de 
succes sur 2^^"^^ ^ Lorsque (A:-l).m vaut de 15 a 20, un triplet suffit a assurer 
raisonnablement Tauthentification dynamique. Pour atteindre n'importe 
quel niveau de securite, on pent produire des triplets en parallele ; on peut 
egalement en produire en sequence, c'est-a-dire, repeter Texecution du 
m6canisme. 



1) L'acte d'engagement comprend les operations suivantes. 
Lorsque le t6moin dispose des m valeurs privees de gi a et du module n, 
il tire au hasard et en prive un ou plusieurs aleas r (0 < r < n) ; puis, par k 
elevations successives au carre (mod n), il transforme chaque alea r en un 
engagement R. 

R = (modn) 
Voici un example avec le premier jeu de cles avec A: = 6. 
r = B8AD426C1 AC0165E94B894AC2437C1B 1797EF562CFA53A4AF8 
43131FF1C89CFDA131207194710EF9C010E8F09C60D9815121981260 
9 1 9967C3E2FB4B4566088E 

R = FFDD736B666F41FB771776D9D50DB7CDF03F3D976471B25C56 

D3AF07BE692CB1FE4EE70FA77032BECD8411B813B4C21210C6B04 

49CC4292E5DD2BDB00828AF18 

Lorsque le temoin dispose des /facteurs premiers de /?i a et des m.f 
composantes privees Qij, il tire au hasard et en prive une ou plusieurs 
collections de / aleas : chaque collection comporte un alea r,- par facteur 
premier pi (0 < r,- < ; puis, par k elevations successives au carre (mod p,-), 
il transforme chaque alea r,- en une composante d' engagement i?,-. 

Ri=3f (modpi) 

Voici un example avec le second jeu de cles avec = 9. 

= B0418EABEBADF0553A28903F74472CD49EE8C82D86 
i?i = 022B365F0BEA8E157E94A9DEB0512827FFD5149880F1 
r2 = 75A8DA8FE0E60BD55D28A218E31347732339F1D667 
/?2 = 057E43A242C485FC20DEEF291C774CF1B30F0163DEC2 
r3 = OD74D2BDA5302CF8BE2F6D406249D148C6960A7D27 
i?3 = 06E14C8FC4DD312BA3B475F1F40CF01ACE2A88D5BB3C 
Pour chaque collection de/ composantes d' engagement, le temoin etablit un 
engagement selon la technique des restes chinois. II y a autant 
d' engagements que de collections d' aleas. 




R = Restes Chinois(7?i, R2, ... Rj) 
R = 28AA7F12259BFBA81368EB49C93EEAB3F3EC6BF73iB0EBD7 
D3FC8395CFA1AD7FC0F9DAC169A4F6F1C46FB4C3458D1E37C9 
9123B56446F6C928736B 17B4BA4A529 

Dans les deux cas, le demonstrateur transmet au controleur tout ou partie de 
chaque engagement jR, ou bien, un code de hachage H obtenu en hachant 
chaque engagement R et un message Af . 

2) L'acte de defi consiste a tirer au hasard un ou plusieurs defis d 
composes chacun de m defis elementaires di dj ... d^ ; chaque defi 
elementaire d^ prend Tune des valeurs de 0 a v/2-1. 

d=di d2 ... d^ 

Voici un exemple pour le premier jeu de cles avecJ: = 6 et m = 3. 

d^ = 10110 = 22= '16' ; 4 = 00111 = 7 ; dy= 00010 = 2, 
^ = 0 I I rfj I ^2 M = 01011000 11100010 = 58 E2 

Voici un exemple pour le second jemdei^l^sitavec k = 9 et /n = 2. 

^ = ^1 .] I J2 = 58 E2 = soit^en decimal,.88 et 226. 

Le contrSleur transmet au demonstrateur chaque defi d. 

3) L 'acte de-^reponse^eomporte-^les^operalions 'suivantes . 

Lorsque le temoin dispose des m valeurs privees de Qi a et du module n, 
il calcule une ou plusieurs reponses D en utilisant chaque alea r de Tacte 
d'engagement et les valeurs privees selon les defis elementsdres. 

X^Q^^Q^^ . Q^ (inoc3n) 
D = tX (modn) 
Voici un exemple pour le premier jeu de cles. 

D = FF257422ECD3C7A03706B9A7B28EE3FC3A4E974AEDCDF386 
5EEF38760B859FDB5333E904BBDD37B097A989F69085FE8EF6480 

A2C6A290273479FEC917 t990A¥7 

Lorsque le temoin dispose des / facteurs premiers de pi a pjr et des m./ 
composantes privies Q^j il calcule une ou plusieurs collections de / 



composantes de reponse en utilisant chaque collection d'aleas de Tacte 
d' engagement : chaque^Uection de composantes de reponse comporte une 
composante par facteur premier. 

Di=35_Xi (modpi) 
Void un exemple pour le second jeu de cles. 
D, = r,.Q,/' .Q2,i'^ (mod p,) = 

02660ADF3C73B6DC15E196152322DDE8EB5B35775E38 
D2 = r2. Q,/' . Q2,2'^ (mod P2) = 

04C15028E5FD1 175724376C1 1BE77052205F7C62AE3B 
D^ = r,, Gi/ • Qt/^ (mod Ps) = 

0903D20DOC306C8EDA9D8FB5B3BEB55E061AB39CCF52 
Pour chaque collection de composantes de r6ponse, le t^moin 6tablit une 
reponse selon la technique des restes chinois. II y a autant de reponses que 
de d6fis. 

D = Restes Chinois(Z)i, D2, ... Dj) 
D = 85C3B00296426E97897F73C7DC6341FB8FFE6E879AE12EF1F36 
4CBB55BC44DEC437208CF530F8402BD9C5 1 1F5FB3B3 A309257 AOO 
195A7305C6FF3323F72DC1AB 

Dans les deux cas, le demonstrateur transmet chaque reponse D au 
controleur. 

4) L'acte de controle consiste a contrdler que chaque triplet {R, d, D] 
verifie une equation du type suivant pour une valeur non nulle , 

Rj][Gfi = D2 (modn) oubien R^D^ 11^? (modn) 

ou bien, a retablir chaque engagement : aucun ne doit etre nuL 

R^D^'' /]~[Gfi (modn) oubien R = D^ 11*^1' (modn) 
i=l i=l 

Eventuellement, le controleur calcule ensuite un code de hachage H' en 



hachant chaque engagement retabli R' etun message M'. L'authentification 
dynamique est reussie lorsque le controleur retrouve ainsi ce qu'il a re9u a 
Tissue de I'acte d'engagement, c'est-a-dire, tout ou partie de chaque 
engagement R, on bienj le code de hachage H. 

Par exemple, una sequence d'op6rations elementaires transforme la r^ponse 
D en un engagement R'. La sequence comprend k carres (mod n) separes 
par k-1 divisions ou multiplications (mod n) par des nombres de base. Pour 
la / ieme division ou multiplication, qui s'effectue entre le / i^me carr6 et le 
/+1 ieme carre, le i ieme bit du defi 61ementaire di indique s'il faut utiliser 
^1, le / ieme bit du defi elementaire d2 indique s'il faut utiliser g2, ... 
jusqu'au i ieme bit du defi elementaire qui indique s'il faut utiliser g„. 
Voici un exemple pour le premier jeu de cles. 

(mod n ) 

FD12E8E1F1370AEC9C7BA2E05C80AD2B692D341D46F3 
2B939487 1 549 1F0EBO9 1B7606CA 1E744E0688367D7BB998F7B73D5F7 
FDA95D5BD6347DC8B978CA217733 

3 . (mod n) = F739B70891 1166DFE715800D8A9D78FC3F332FF622D 

3EAB8E7977C68AD44962BEE4DAB3C0345D1CB34526D3B67EBE8BF 

987041B4852890D83FC6B48D3EF6A9DF 

3^ . (mod n) = 682A7AF280C49FE230BEE354BF6FFB30B7519E3C8 
92DD07E5A781225BBD33920E5ADABBCD7284966D71141EAA17AF 
8826635790743EA7D9A15A33ACC7491D4A7 

3" . (mod n) = BE9D828989A2C184E34BA8FE0F384811642B7B548F 
870699E7869F8ED851FC3DB3830B2400C516511A0C28AFDD210EC3 
939E69D413F0B ABC6DEC441974B 1 A29 1 

3^ 5 . (mod n) = 2B40122E225CD858B26D27B768632923F2BBE5 

DB 1 5CA9EFA77EFA665!:E554A02ADi AlE4F6B59Be9E4!AE4A537D 

4AC1E89C2235C363830EBF4DB42CEA3DA98CFE0O 

3^0 . 5^ . « (mod n ) 



BDD3B34C90ABBC870C604E27E7F2E9DB2D383 

68EA46C93 1C66F6C7509B 1 1 8E3C 1 628 1 1 A98 169C30D4DEF768397DD 

B8F6526B671421 8DEB627E1 1FACA4B9DB268 

3 ^ ^ . 7 . ^ (mod n ) 

DBFA7F40D338DE4FBA73D42DBF427BBF195 

C13D02AB0FA5F8C8DDB5025E342823 1 1CEF80BACDCE5DOC433444 

A2AF2B153 18C36FE2AE02F3C8CB25637C9AD7 12F 

322 .5^7^ LP^ (mod n) = C60CA9C4A1 1F8AA89D9242CE717E3DC6C1 

A95D5D09A2278F8FEE1DFD94EE84D09D000EA8633B53C4A0E7F0A 

EECB70509667A3CB052029C94EDF27611FAE286A7 

3 2 2 57 72 £)3 2 (^QjJ „ ) 

DE40CB6B41C01E722E4F312AE7205F18CDD 

0303EA5226 1 CBOEA9F0C7EOCD5EC53D42E5CB645B6BB 1 A3B00C77 

886F4AC5222F9C863DACA440CF5F1A8E374807AC 

344 514 . 74 2)64 (jjjQ^i c'est-a-dire, S^'^ . 5^ . 7^* . (mod n) avec les 

exposants en hexa = FFDD736B666F41FB771776D9D50DB7CDF03F3D9 

7647 1B25C56D3AF07BE692CB 1FE4EE70FA77032BECD841 1B8 13B4C 

21210C6B0449CC4292E5DD2BDB00828AF18 

On retrouve bien 1' engagement R. L'authentification est reussie. 

Voici un exemple pour le second jeu de c\€s. 

(modn) = C66E585D8F132F7067617BC6DOOBA699ABD74FB9D13E 
24E6A6692CC8D2FC7B57352D66D34F5273C13F20E3FAA228D70AEC 
693F8395ACEF9206B 172A8A2C2CCBB 

3 . (mod n) = 534C61 14D385C3E15355233C5B00D09C2490D1B8D8E 
D3D59213CB83EAD41C309A187519E5F501C4A45C37EB2FF38FBF20 
1 D6D 138F3999FC1D06A2B2647D48283 

32 . (mod n) = A9bC8DEA867697E76B4C18527DFFC49F4658473D03 
4EC1DDE0EB21F6F65978BE477C423 1 AC9B 1EBD93D5D49422408E47 
15919023B 16BC3C6C46A92BBD326AADF 



l.-hKlf (mod n) = FB2D57796039DFC4AF9199CAD44B66F257A1FF 

3F2BA4C12B0A8496A0148B4DFBAFE838EOB5A7D9FB4394379D72A 

107E45C51FCDB7462D03A35002D29823A2BB5 

22 . 3" . Z)« (mod n) = 4C210F96FF6C77541910623B1E49533206DFB9E91 

6521F305F12C5DB054D4E1BF3A37FA293854DF02B49283B6DE5E5D 

82ACB23DAF1A0D5A721A1890D03A00BD8 

2^ . 3\ (mod n) = E4632EC4FE4565FC4B3126B15ADBF996149F2D 

BB42F65D9 1 1 D3 85 1 9 1 0FE7E A53D AEA7EE7B A8FE9D08 1 DB7 8B249 

B IB 1 8880616B90D4E280F564E49B270AE02388 

24 314 £,16 (jjjQ^j ^ ED3DDC716AE3D1EA74C5AF935DE814BCC 

2C78B12A6BB29FA542F9981C5D954F53D153B9F0198BA82690EF 

665C 17C399607DEA54E2 1 8C2C0 1 A890D422EDA 1 6FA3 

2^ . 3' " . ^ (mod n ) 

DA7C64E0E8EDBE9CF823B71AB13F17E1161487 

6B00OFBB473F5FCBF5A5D8D26C7B2A05D03BDDD588164E562D0F5 

7AE94AE0AD3F35C6 1C0892F4G9 1 DC0B08ED6F 

210 328 £>32 (j^Qjj ^ 6ED6AFC5A87D2DD117B0D89072C99FB9DC9 

5D558F65B6A1967E6207D4ADBBA32001D3828A3-5069B256A07C3D 

722F17DA30088E6E739FBC419FD7282D16CD6542 

2" . 3^ . (mod n) = DDAD5F8B50FA5BA22F61B120E5933F73B92 

BAAB1ECB6D432CFCC40FA95B77464003A705146AOD364AD40F8 

7AE45E2FB4601 1 1CDCE73F78833FAE505A2D9ACA84 

2^ . 3^^ . (mod n) = A466D0CB17614EFD961000BD9EABF4F021 

36F8307101882BC1764DBAACB715EFBF5D8309AE001EB5DEDA 

8F00OE44B3D4578E5CA55797FD4BD1F8E919BE787BD0 

244 3112 ^128 (-jjjQ^ ^) ^ 925B0EDF5047EFEC5AFABDCO3A83O919761 

B8FBDD2BF934E2A8A31E29B976274D513007EF1269E4638B4F65F 

8FDEC740778BDC178AD7AF2968689B930D5A2359 

244 3113 £,128 (modn) = B711D89C03FDEA8D1F889134A4F809B3F2D 



8207F2AD8213D169F2E99ECEC4FE08038900FOC203B55EE4F4C803 

BFB912A04F11D9DB9D076021764BC4F57D47834 

2 « « . 3^^ . D^^ (mod n ) 

41A83F119FFE4A2F4AC7E5597A5D0BEB4D4C 

08D19E597FD034FE720235894363A19D6BC5AF323D24B1B7FCFD8D 
FCC628021B4648D7EF757A3E461EF0CFF0EA13 

2176 3452 ^512 (jjjQji soij 488 9226 jr>512 (jjjod n) = 

28AA7F12259BFBA8 

1368EB49C93EEAB3F3EC6BF73B0EBD7D3FC8395CFA1AD7FC0F9D 
AC 1 69A4F6F1 C46FB4C3458D 1E37C99 123B56446F6C928736B 17B4B A 
4A529 

On retrouve bien I'engagement R. L'authentification est r6ussie. 
Signature numerique 

Le mecanisme de signature numerique permet k une entite appelee 
signataire de produire des messages signes et a une entit6 appel6e 
controleur de verifier des messages signes. Le message M est une sequence 
binaire quelconque : il peut etre vide. Le message M est signe en lui 
adjoignant un appendice de signature qui comprend un ou plusieurs 
engagements et / ou d6fis, ainsi que les r^ponses correspondantes. 
Le controleur dispose de la meme fonction de hachage, des param^tres k et 
m et du module n. Les parametres ^ et m renseignent le controleur. D'une 
part, chaque d€fi el6mentaire, de di a d,„, doit prendre une valeur de 0 a 
2*~*-l (les valeurs de v/2 a v-1 ne sont pas utilis6es). D* autre part, chaque 
defi d doit comporter m defis elementaires notes de d^ a d^, autant que de 
nombres de base. En outre, faute d' indication contraire, les m nombres de 
base, de ^1 a g^, sont les m premiers nombres premiers. Avec (fc-l).m valant 
de 15 ^ 20, on peut signer avec quatre triplets GQ2 produits en parallele ; 
avec (fe-l).m valant 60 pu plus, on peut signer avec un seul triplet GQ2. Par 
exemple, avec ifc = 9 et m = 8, un seul triplet GQ2 suffit ; chaque d6fi 



comporte huit octets et les nombres de base sont 2, 3, 5, 7, 11, 13, 17 et 19. 
L'operation de signature est une sequence de trois actes : un acte 
d'engagement; un acte de defi et un acte de reponse, Chaque^acte produit un 
ou plusieurs triplets GQ2 comprenant chaeun : un eng^genaenfci? 0), un 
defi d compose de m defis elementaires notes par y/^, 
reponse D (^^ 0). 

Le signataire dispose d'une fonction de hachage, du parametre k et de la cle 
privee GQ2, c'est-^-dire, de la factorisation du module n selon Tune des 
trois representations evoquees ci-dessus. Au sein du signataire, on peut 
isoler un temoin qui execute les actes d' engagement et de reponse, de 
maniere a isoler les fonctions et les parametres les plus sensibles du 
demonstrateur. Pour calculer engagements et reponses, le temoin dispose du 
parametre k et*^de la cle privee GQ2, c'est-a-dire; de^4a factorisation du 
module n selon runet^des trois^.rfepresentations evoquees^aiTdessus. Le 
temoin ainsMsole est^semblable au temoin defini-^au sein du demonstrateur. 
II peut correspondre a une^realisation particuliere, par exemplet4^-• une carte 
a puce reliee a un PG^rmant ^ensemble le signatairev-ouT^eneore, •des 
programmes particuiieirement pr@t6g€s au sein d'un PC; ou eneore, •des 
programmes particulierement proteges au sein d'une carte a puce. 
1) L'acte d'engagement comprend les operations suivantes. 
Lorsque le temoin dispose des m valeurs privees de Qx a et du module n, 
il tire au hasard et en priv6 un ou plusieurs aleas r (0 < r < n) ; puis, par k 
elevations successives au carre (mod n), il transforme chaque alea r en un 
engagement R. 

R = r^ (modn) 

Lorsque le temoin dispose des/facteurs premiers de pi ^ /7y et des m/ 
composantes prisvees -j2,y, il tire au hasaridr et en prive une ou plusieurs 
collections de / aleas : chaque collection comporte un alea r,* par f acteur 
premier pi (0 < ri< p^ ; puis, par k elevations successives au carre (mod 



il transforme chaque alea r,- en une composante d*engagement 

Ri=3f (modpi) 

Pour chaque collection de/composantes d'engagement, le temoin etablit un 
engagement selon la- technique des restes chinois. II y a autant 
d* engagements que de collections d'aleas. 

R = Restes Chinois(7?i, /?2> • ^/) 

2) L'acte de defi consiste a hacher tous les engagements R et le message h, 
signer M pour obtenir un code de hachage a partir duquel le signataire 
forme un ou plusieurs defis comprenant chacun m defis elementaires ; 
chaque defi elementaire prend une valeur de 0 a v/2-1 ; par exemple, avec 

= 9 et m = 8, chaque defi comporte huit octets. II y a autant de defis que 
d'engagements. 

d = di ^2 • • • extraits du resultat Hash(M, R) 

3) L'acte de reponse comporte les operations suivantes. 

Lorsque la temoin dispose des m valeurs privees de Qi a et du module n, 
il calcule une ou plusieurs reponses D en utilisant chaque alea r de Facte 
d'engagement et les valeurs privees selon les defis elementaires. 

X=Qf^Q^2^Q^ (modn) 
D = rX (moc3n) 

Lorsque le temoin dispose des /facteurs premiers d& pikpf et des m.f 
composantes privees il calcule une ou plusieurs collections de / 
composantes de reponse en utilisant chaque collection d'aleas de Tacte 
d'engagement : chaque collection de composantes de reponse comporte une 
composante par facteur premier. 

Pour chaque collection de composantes de reponse, le temoin etablit une 
reponse selon la technique des restes chinois. II y a autant de reponses que 
de defis. 
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D = Restes Chinois(Di, Z)2, - ../)/) 
Le signataire signe le message M en lui adjoignant un appendice de 
signature comprenant : 

- ou bien, chaque triplet GQ2, c'ests^a-dire, chaque engagement /?, chaque 
defi d et chaque reponse Z), 

- ou bien, chaque engagement R et chaque reponse D correspondante, 

- ou bien, chaque defi d et chaque reponse D correspondante. 

Le deroulement de I'operation de verification depend du contenu de 
Tappendice de signature. On distingue les trois cas. 

Au cas ou Pappendice comprend un ou plusieurs triplets, reparation de 
controle comporte deux processus independants dont la chronologie est 
indifferente. Le contrdleur accepte le message signe si et seuiement si les 
deux conditions suivantes sont remplies. 

D'une part, chaque triplet doit etre coherent (une relation appropri6e du 
type suivant doit etre verifiee) et recevable (la comparaison doit se faire sur 
une valeur non nulle). 

Rj][Gfi = D^ (modn) oubien R = D^ 17^?^ (modn) 

i=l i=l 

Par exemple, on transforme la reponse D par une sequence d' operations 
elementaires : k carr^s (mod n) separes par k-\ multiplications ou divisions 
(mod n) par des nombres de base. Pour la / ieme multiplication ou division, 
qui s'effectue entre le / ieme carre et le i+l ieme carr6, le i ieme bit du defi 
elementaire d^ indique s'il faut utiliser gi, le i ieme bit du defi elementaire 
d2 indique s'il faut utiliser g2, ... jusqu'au i ieme bit du defi elementaire d^^ 
qui indique s'il faut utiliser g^^^ On doit ainsi retrouver chaque engagement 
R present dans 1' appendice de signature. : 

D' autre part, le ou les triplets doivent etre lies au messages M. En hachant 
tons les engagements R et le message Af, on obtient un code de hachage a 
partir duquel on doit retrouver chaque defi d. 



d = di ^2 - * • identiques a ceux extraits du resultat Hash(M, R) 
Au cas ou I'appendice ne comprend pas^e defi, roperation de controle 
commence par la reconstitution de un ou plusieurs defis d' en hachant tous 
les engagements R et le message M. 

d' = d\ d\... d\, extraits du resultat Hash(M, R) 
Ensuite, le controleur accepte le message signe si et seulement si chaque 
triplet est coherent (une relation appropriee du type suivant est verifiee) et 
recevable (la comparaison se fait sur une valeur non nuUe). 

RjJ^Gf^. = D^ (modn) oubien R = D^ ll^i'^ (modn) 
i=l i=l 

Au cas ou I'appendice ne comprend pas d'engagement, T operation de 

controle commence par la reconstitution de un ou plusieurs engagements R' 

selon une des deux formules suivantes, celle qui est appropriee. Aucun 

engagement retabli ne doit etre nul. 

R^D^ /f^cfi (modn) oubien R^D^ Il^i^ (modn) 

i=l i=l 

Ensuite, le controleur doit hacher tous les engagements i?' et le message M 
de fagon ^ reconstituer chaque defis d, 

d = di ^2 • • • identiques a ceux extraits du resultat Hash(M, R') 
Le controleur accepte le message signe si et seulement si chaque defi 
reconstitue est identique au defi correspondant figurant en appendice. 



Dans la pr^sente demande, on a montre qu'il existait des couples de valeurs 
priv6e Q et publique G permettant de mettre en oeuvre le procede, le 
systeme et le dispositif selon T invention destine a prouver Tauthenticite 
d'une entite et/ou Tintegrite et/ou 1' authenticity d'un message. 
Dans la demande pendante deposee le meme jour que la presente demande 
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par France Telecom, TDF et la Societe Math RiZK et ayant pour inventeurs 
Louis Guillou et Jean-Jacques Quisquater, on a decrit un precede pour 
produire des jeux de cl6s GQ2, a savoir, des modules n et des couples de 
valeurs publique G et privee Q dans le cas ou Texposant v est«6gal a 2*. EUe 
est incorporee ici par reference. 

Cette description detaillee de Tinvention dans le cas ou v = 2* est 
susceptible d*etre generalisee a d'autres valeurs de v. C'est d'ailleurs ce qui 
a ete expose, en contrepoint aux revendications, dans les premieires pages de 
la description concemant le cas ou v est different de 2*. Pour autant que cela 
soit necessaire, notamment pour des raisons ressortant des regies d'ecriture 
d'une demande de brevet, et qu'il faille egalement dans cette partie de la 
description expliciter I'invention dans le cas ou v est diff6rent%tie 2*, les 
premieres pages de la description seront egalement-supposees avoir ete 
inserees k la suite de qe paragraphe; 
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Precede destine a prouver I'aQtlseQticste d'one entity oo I'int^grit^ d'nn message 

aa naoyen d'au esposant public egal a nne puissance de deus. 
La presente invention conceme les' precedes, 1^ systemes amsi que les 
dispositifs destines a prouver rauthenticite d'une entite et/ou rint6grite 
et/ou rauthenticit6 d'un message. 

Le brevet EP 0 3 1 1 470 Bl dont les inventieiirs sont Loms Guillou et Jean- 
Jacques Quisquater decrit im tel precede. On y fera ci-apres reference en le 
designant par les tennes : '^brevet GQ" ou " precede GQ". Par la suite on 
designera parfois par "GQ2", "invention GQ2" ou "technologie GQ2" la 
presente invention. 

Selon le proc6d6 GQ, une entity appelee " autorite de confiaace " attribne 
ime identity i chaque entity appeMe ** t^moin " et en calcule la signature 
RSA; durant un processus de personnalisation, Tautorite de confiance 
donne identite et signature an t&aoin. Par la suite, le t6noin proclame : 
" Void mon identite ; j'en connais la signature RSA. " Le temoin prouve 
sans la revllCT qu'il connait la signature RSA de son identite. Grace a la cl6 
publique de verification RSA distribuee par Tautorit^ de confiance, une 
entity appelee " contrdleur *' v&Lfie sans en prendre connaissance que la 
signature RSA correspond a Tidentite proclamee. Les mecamsmes utiiisaat 
le im:oc^6 GQ se deroulent " sans transfert de connaissance Selon le 
precede GQ, le t6moin ne connait pas la cle priv6e RSA avec laquelle 
Tautorite de confiance signe un grand nombre d'identites. 
La technologie GQ precedemment decrite fait appel a la technologie RSA. 
Mais si la technologie RSA depend bel et bien de la factorisation du 
module n, cette dependance n'est pas une equivalence, loin s'en faut, 
comme le d6montrent les attaques dites "multiplicatives" contre les 
diverses nonnes de sigirature mnnoique mettant en oeuvre la technologie 
RSA. 

L'objectif de la technologie GQ2 est double : d'une part, amelioret les 



performances par rapport a la technologic RSA ; d' autre part, 6viter les 
problemes inh^rents a la technologie RSA. La connaissance de la cle privee 
GQ2 est equivalente k la connaissance de la factorisation du module n. 
Toute attaqiae au niveau des triplets* GQ2 se ramene a la factorisation du 
module n : 11 y a cette fois equivalence. Avec la technologie GQ2, la charge 
de travail est reduite, tant pour I'entite qui signe ou qui s'authentifie que 
pour ceUe qui controle. Gr§ce a im meilleur usage du probleme de la 
factorisation, tant en s^curite qu'en performance, la technologie GQ2 evite 
les inconvenients presents par la technologie RSA. 
Le proced^ GQ met en oeuvre des calculs modulo des nombres de 512 bits 
ou davantage. Ces calculs concement des nombres ayant sensiblement la 
meme taiUe 61ev6s i des puissances -^de rordre de 2'* + 1. Or les 
infrastructm-es micro^lectroniques existantes, notamment dans le domaine 
des cartes bancaires, font usage de microprocesseurs auto-programmables 
monolithiques d^pourvus de coprocesseurs arithmetiques. La charge de 
travail liee aux multiples operations arithmetiques impliqu^es par des 
precedes tels que le proc6de GQ, entraine des temps de calcul qui dans 
certains cas s'averent penalisant pour les consommateurs utilisant des 
cartes bancaires pour acquitter leurs achats. II est rappele id, qu'en 
cherchant a accroitre la security des cartes de paiement, les autorit6s 
bancaires posent un probleme particulierement delicat a rfeoudre. En effet, 
il faut traiter deux questions apparemment contradictoires : augmenter la 
securite en utilisant des cles de plus en plvis longues et distinctes pour 
chaque carte tout en evitant que la charge de travail n' entraine des temps 
de calcul prohibitife pour les utilisateurs. Ce probleme prend un relief 
particulier dansB -la mesure ou, en outre, il convient de tenir compte de 
rinjfrastructure-en-place et des'eomposaai^'^micjrQprocesseuis existants. 
La technologie GQ2 a pour objet d'apporter une solution k ce probleme 
tout en renfor9ant la s6curite. 
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Procide 

Plus particulierement, rinvention conceme un precede destine a prouver a 
une entite controleur, 

- I'authenticite d'une entite et/ou 

- rintegrite d'un message M associe a cette entite. 

Cette preuve est ^blie au moyen de tout ou partie des paiamdtres 
suivants ou d6riv6s de ceux-ci: 

- m couples de valeurs priv6es Qi, Qj, ... Qm et publiques G„ Gj, ... 
G,„ (m etant superieur ou egal i 1), 

- un module public m constitue par le produit de f facteurs premiers Pi, 
P2, ... Pf (ff etant superieur ou 6gal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations 
du type : 

G| . Qi'' s 1 . mod n ou G, s Q.^'mod n 
Ledit exposant v est tel que 

oii k est un parametre de securite plus grand que 1 . 

Ladite valeur publique Gj est le caire gj^ d'un nombre de base & inferieur 
aux f facteurs premiers p„ P2, . .. Pf . Le nombre de base g, est tel que : 

les deux Equations : 

s^ = gimodii et x^s-giHaodn 
n'ont pas de solution en x dans Tanneau des entiers modulo n 
et tel que : 

r^quation : 

= gi^ mod n 

a des solutions en x dans I'anneau des entiers modulo m . 

Ledit precede met en ceuvre selon les etapes ci-apres definies une entite 

appelee temoin. Cette entite dispose des f facteurs premiers p., et/ou des 



paiametres des restes chinois des facteurs premiers et/ou du module public 
n et/ou des^m valeurs privees Qi et/ou dsi/irai composantes j (Qj, j = Qi 
mod pj) des v^epi? privees Q, et de. I'exposant public v . 
Le temoiiii ealeule "des engagements R dans 4'a3ineau (des en#ers -^modulo n. 
Chaque engagement est calcule : 

• soit en effectuant des operations du type 

Rsr^modn 
oii rest im al6a tel que 0 < r< m, 

• soit 

•• en effectuant des operations du type 

ou Tj est un al6a associ^ au nombre premier jft tel que 0 < < p, , chaque Ti 
appartenant a une eollection d'al6as {rj , , ... r^} , 

puis en appliquant la methode des restes chinois. 
Le temoin regoit un ou plusieurs defis d. Chaque defi d comporte m entiers 
dj ci-apres appeles d^fis 61ementaires. Le temoin calcule a partir de chaque 
d6fi d ime r6ponse D, 

• soit en effectuant des operations du type : 

D s r . Q/» . Q2 ... Qm 

• soit 

en effectuant des operations du type : 

= . Qy Qi^ Qi^ mod p, 

puis en appliquant la methode des restes chinois. 
Ledit procede est tel qu'il y a autant de reponses B que de defis d que 
d' engagements R. Chaque groupe de nombres M, d, D constitue un triplet 

note {R, d, D}. 

Cas de la preuve de Pautiienticite d'ipie ei!itit#M 
Dans une premiere variante de realisation le procede selon I'invention est 
destine h prouver 1' authenticity d'une entite appel6e demonsfa-ateur ^une 




entite appel^e controleur. Ladite entity demonstrateur comprend le tdmoin. 
Lfisdites entites demonstrateur et controleur executent les etapes 
suivantes: 

» itape 1 : acte d'emgagememt R 
A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifi6 ci-dessus, Le demonstrateur transmet au contr61eur tout 
ou partie de chaque engagement R. 

9 ^tape 2 : acte de d 
Le controleur, aprds avoir repu tout ou partie de chaque engagement R, 
produit des defis d en nombre 6gal au nombre d' engagements R et 
transmet les defis d au demonstrateiir, 

a.^tape 3 : acte de repoiase D 
Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specific ci-dessus. 

9 ^tape 4 : acte de contrdle 
Le demonstrateur transmet chaque reponse D-au contrSieur. 
Premier cas : le dlmomstrateur a tramsmis ime partie de chaque 
eiagagemeat R 

Dans le cas ou le demonstrateur a transmis une partie de chaque 
engagement R, le controleur, disposant des m valeurs publiques G„ G2, ... 

calcule k partir de chaque defi d et de chaque reponse D un 
engagement reconstmit R' satisfaisant a une relation du type : 
R' = G/^ Gj . . . G„ . D'' mod n 

ou a une relation du type, 

R' s / Gi * . G2 . . . G„ . mod n . 

Le conti-Sleur v6rifie que chaque engagement reconstruit R' reproduit tout 

ou partie de chaque engagement R qui lui a €t€ transmis, 

Deimdme cas : le deMomstrateur a transmis Fimtegraiite de cliaqiie 

exLgagemeiat R 
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Dans le cas ou le demonstrateur a transmis I'mt^graKt^ de chaque 

I 

engagement R, le contrdleur, disposant des m valeurs publiques G„ Gj, ... 
G„, v^rifie que chaque engagement.-R satisfait a une relation du type : 
R = G, '^^ . G2 ... G„ *»;D^modjtt ^ 

ou a une relation du type, 

R = B^'/Gj •'^ G2 ... G„ . mod n . 
Cas de la preuve de I'integsit^ d'lm message 
Dans une deuxidme vaiiante de r6alisation susceptible d'etre combinee 
avec la premiere, le precede selon I'invention est destin6 a prouver k une 
entite appelee controleur I'int^grit^ d'un message M associe a une entite 
appel6e demonstrateur. Ladite entity d&nonstrateur comprend le temoin. 
Lesditesx' entitest^^ deinonstrateuF et contrdleuT ex6eiatent les etapes 

suivantes'Sitf 

o etap.eil : acte^d'engagtement^R % 
A Ghaqiiie, appel, le temoin calcute-ehaqu^ engagem,©nt*:Rii^n appliquant le 
processus-spe@'i>:i#'&i-'dessiis.4^ 

9 etap^i^- :.acte'de«d^'@id' 
Le demonstrateur applique une fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement R pour 
calculer au moins vm jeton T. Le demonstrateur transmet le jeton T au 
controleur. Le controleur, apres avoir re9u un jeton T, produit des d^fis d 
en nombre egal au nombre d'engagements R et transmet les d^fis d au 
demonstrateur. 

9 etape^ : acte de repoiase D 
Le t&noiQ calcule des reponses D a partir des defis d en appliquant le 
processus sp6Gifi6 ci-dessus. 

e etape*4' :^act9*d^.eo]i4p?dle<^ 
Le demonstrateur transmet chaque reponse D au contr61eur. Le contrdleur, 
disposant des m valeurs pubUques Gj, G2, ... G^, calcule a partir de chaque 



dejB d et de chaque r^ponse B un engagement reconstruit R' satisfaisant a 
vtne relation du type : ^ 

R' s G/> . G2 G^'^.ir mod m 
ou a vaie relation du type : 

R» =B^/G, . G2 G^ . mod n 
Puis le controleur applique la fonction de hachage la ayant corome 
arguments le message M et tout ou partie de chaque engagement 
reconstruit R' pour reconstruire le jeton T'. Puis le contrdleur verifie que le 
jeton T' est identique au jeton T transmis. 

Signature nwaa&riqae d'un message etpreuve de son authenticity 
Dans une troisieme variante de realisation susceptible d'etre combin6e aux 
deux precedentes, le proc^dd selon I'invention 1 est destine k produire la 
signature numerique d'un message M par xme entit6 appel6e entity 
signataire. Ladite entite signatzdre comprend le t6moin. 
Op^ratioD de signature 

Ladite entite signataire execute une operation de signature en vue 
d'obtenir un message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les rSponses D. 

Ladite entite signataire execute 1' operation de signature en mettant en 
oeuvre les etapes suivantes : 

o etape 1 :- acte d'engagemerat R 
A chaque ^el, le t6moin calcule chaque engagement R en appliquant le 
processus specifie ci-dessus. 

9 etape 2 : acte de defi d 
Le signataire applique une fonction de hachage h ayant comme arguments 
le message M et chaque engagement R pour obtenir un train binaire. Le 
signataire extrait de ce train binaire des defis d en nombre egal au nombre 



d'engagements R. 

• ^tape 3 : act^de reponse D . 
Le temoin calcule des r^ponses D .^ paitir des defis d en appliqu ant le 
processus specific ci^dessus. 
Operation de comtroie 

Poiir prouver I'authenticite du message M, une entite, appelee controleur, 
controle le message signe. Ladite entite controleur disposant du message 
signe execute une operation de contrSle en procedant conmie suit. 

• cas oii le contrdleur dispose des engagements R, des defis d, des 
reponses D, 

Dans le cas ou le controleur dispose des engagements B, des defis d, des 
reponses B le contrdleur vdrifie que les engagements R, les^defis d et les 
reponses D satisfont a des relations du type 

R = Gi . Gj . . . G„ . D'' mod n 
ou h des relations du type : 

R s / Gi . G2 ... G„ *" . mod m 
Puis le controleur verifie que le message M, les defis d et les engagements 
R satisfont a la fonction de hachage 

d = h (message, R) 

• cas ovi le controleur dispose des dSfis d et des reponses D 

Dans le cas ou le controleur dispose des d6fis d et des reponses D, le 
controleur reconstruit, a partir de chaque defi d et de chaque rdponse B, 
des engagements R' satisfaisant a des relations du type : 
R' = Gi . Gj ... G„, *" . mod n 
ou h des relations du type : 

WsW/ Gi . Gj i.. G„ '^7 mod n 
Puis le controleur verifie que le message M et les defis d satisfont a la 
fonction de hachage 

d = li (message, R') 



® cas ou le conatarSleiar dispose des eegagemeaits R et des r^pomses B 
Dans le c^s^ou le controleur dispose des engagements R et des reponses B, 
le controleur applique la fonction de hachage et reconstruit d' 

d' = h (message, R) 
Puis, controleur verifie que les engagements R, les defis d' et les reponses 
D, satisfont a des relations du type : 

R = G, G2 "'^ . . . G„ . mod m 

ou a des relations du type : 

R= DV Gi ""^ . G2 ... G„ . mod n 
Systeme 

La presente invention conceme ^galement un systeme destin^ k prouver a 
un serveur controleur, 

- I'authenticite d'lme entite et^ou 

- rintegrite d'un message M associ6 k cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou deriyes de ceux-ci: 

- m couples de valeurs privees Q,, Q2, .•• Qm et publiques Gi, Gj, ... 
G„ (m 6tant sup^rieur ou 6gal a 1), 

- un module public n constitu6 par le produit de f facteurs premiers p„ 
P2, . . . Pf (f etant superieur ou egal a 2), 

- un exposant public v ; 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations 
du type : 

Gj. Qi" s 1 . mod m ou Gi H Qj^mod n . 
Ledit exposant v est tel que 

ou k est un paramdtre de security plus grand que 1 . 

Ladite valeur publique Gj est le carre g,^ d'un riombre de base gj inferieur 

aux ff facteurs premiers Pi, — Pf • Le nombre de base g, est tel que : 
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les deux equations : 

= gi mod n et = - gi m©d n 
n'ont pas de solution en x dans J'amieaii 4es entiers modulo n 
ettebque: 

Tequation : 

a des solutions en x dans Tanneau des entiei^ modulo n , 
Ledit systeme comprend un dispositif temoin, notamment contenu dans un 
objet nomade se presentant par example sous la foraie d'une carte bancaire 
a microprocesseur. Le dispositif temoin comporte une zone memoire 
contenant les f facteurs premiers pjCt/ou les parametres des restes chinois 
des-faeteurs premiefSi et/Qu le m et/ou^les^ valeurs priv6es Qi 

et/owles*4jriit?eomposantes^j^j^^^ Q^ jaod^^) des^aleursrprivees QjCt 
rexposant^publiGiV . Leditadispo^siliftt^moin c 

- dessmo^^em'^de produetiontsid'aleasf^ckapBlstad^si^^ de 
production d' aleas-Miir dispositilitemoini^ t 

. des moyens de ^calcul, ci-api^es designes^^^ moyenst^e calcul des 
engagements R du dispositif temoin. 

Les moyens de calcul permettent de calculer des engagements R dans 
Tanneau des entiers modulo n . Chaque engagement est calcule : 
• soit en efFectuant des operations du type 

ou r est un alea produit par les moyens de production d'aleas, r etant tel 
queO<r<n, 

• soit en effectuant des operations du type 

ou rjest^Tm-alea^asspcie auvnoml^^ tel-^-que © ^ i5i < ^ , chaque 

appartenant a une collection d'aleas {r^ , , -o r^} produits par les moyens 
de production d'aleas, puis en appliquant la methode des restes chinois . 
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Ledit dispositif temoin comporte aiissi : 

I 

- des moyens de r^cq^tion, ci-apres designes les moyens de rec^tion 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d ; 
chaque defi d comportant m entiers dj ci-apres appeles defis ^lementaires ; 

- des moyens de calcul, ci apres ,desigiies les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D, 



puis en appliquant la methode des restes chinois, 

Ledit dispositif temoin comporte aussi des moyens de transmission pour 
transmettre un ou plusieurs engagements R et vne ou plusieurs reponses B. 
II y a autant de reponses D que de defis d que d' engagements R. Chaque 
groupe de nombres d, D constitue un triplet note {R, d, D}. 



Dans une premiere variante de realisation le systeme selon I'invention est 
destine a prouver Tauthenticite d'une entity appelee demonstrateur a une 
entite appelee contr61e\ir, 

Ledit systeme est tel qu'il comporte im dispositif demonstrateur associe a 
Tentite demonstrateur. Ledit dispositif demonstrateur est interconnecte au 
dispositif temoin par des moyens d' interconnexion. 11 peut se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade, 
par exempie sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. 

Ledit systeme comporte aussi im dispositif controleur associe a Tentite 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un terminal ou d'un serveur distant, Ledit dispositif controlem: comporte 



• soit en effectuant des operations du type : 



D s r . Qi . Q2 ^. ..• Qn, mod n 




Cas de la preuve de PautheiEticite d'uiae entite 
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des moyens de. connexion pour le connecter 61ectriquement; 
electromagn^tiquement, c^^quement ou de manidre acoustique, 
notamment via un reseau de commimication infonnatique, au dispositif 
demonstrateur ; 

Ledit systeme permet d'executer les etapes suivantes : 

® etape 1 : acte d'engagemerat R 
A chaque qipel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. Le di^ositif temoin comporte des . moyens de transmission, ci- 
apres design^s les moyens de transmission du dispositif t^oin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d'interconnexion. Le dispositif 
demonstrateur comporte aussi des moyens de transmission, ci-apr6s 
designes les moyens de transmission du demonstrateur, pour transmettre 
tout ou partie de chaque engagement R au dispositif controleur, via les 
moyens de connexion. 

o ^tape 2 : acte de defi'd 
Le dispositif controleur comporte des moyens de production de defis pour 
produire, aprfes avoir re9u tout ou partie de chaque engagement R, des 
defis d en nombre 6gal au nombre d'engagements R. Le dispositif 
controleur comporte aussi des moyens de transmission, ci-aprfe designes 
les moyens de transmission du controleur, pour transmettre les defis d au 
demonstrateur, via les moyens de connexion. 

9 etape 3 : acte de reporne 13 
Les moyens de reception des defis d du dispositif temoin, resolvent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion. Les moyens de calcul des r^ponses B du dispositif 
temoin, calculent les reponses B a partir des defis d en appliquant le 
processus specific ci-dessus. 




® etape 4 : aete de comtrSIe 
Les moyens de transmission du demonstrateur transmettent chaque 
reponse D au controleur. Le dispositif controleur comporte aussi : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif contrfileur. 

Premier cas : le demonstrateur a transmis ime partie' de chaque 
engagement R 

Dans le cas ou les moyens de transmission du demonstrateur ont transmis 
ime partie de chaque engagement les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G^, Gj, G^^, calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant k une relation du type : 

R'sGl^^G2^..••G„^.D^modn 

ou k une relation du type, 

R' sD^/Gj G2 G„ • mod m • 
Les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R re?u, 
DcMxieme cas : le demonstratear a transmis Fintegralite de chaqne 
engagement R 

Dans le cas ou les moyens de transmission du demonstrateur ont transmis 
rintegrahte de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif contrSleur, disposant des m valeurs publiques 
Gi, G2, .0. G^ verifient que chaque engagement R satisfait a une relation 
du type : 

R = Gi . G2 ^. 000 G^ ^. D'^modn 
ou a une relation du type, 

R s D V Gj G2 . • • G„ . mod n . 



Cas de la preuve de Fimitegrite d'lm messageo 
Dans une deuxieme variante de realisation susceptible, d'etre combinee 
avec la premi^, le systeme selon Tinvention est destine prouver h une 
entite appelee-eontsEdleur I'int^grite d'un message M associe a une entit6 
appelee d^monstrateur. Ledit systeme est tel qu'il comporte un dispositif 
demonstrateur associe a I'entite demonstrateur. Ledit dispositif 
demonstrateur est interconnecte au dispositif temoin par des moyens 
d'interconnexion. Ledit dispositif demonstrateur pent se presenter 
notamment sous la forme de microcircuits logiques dans im objet nomade 
par exemple sous la forme d'lm microprocesseur dans une carte bancaire a 
microprocesseur. Ledit syst&ne comporte aussi dispositif contr61eurassoci6 
a r entity contrMeur. Ledit dispositif controleur se pr^srentr notamment 
sous la forme d'un terminal ou d'un serveur distant. Ledit dispositif 
controleur comporte des moyens de connexion pour - le connecter 
61ectriquement; 61eetromagnetiquemen% optiquement ou de maniere 
acoustique, notamment via un reseau de communication informatique, au 
dispositif demonstrateur. 
Ledit systeme execute les 6tapes suivantes : 

9 itape 1 : acte d'engagement R 
A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appUquant le processus sp6cifi6 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, d- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d'interconnexion. 

• ltape'2 : acte de-d^fi d 
Le dispositif d6monstrateur comporte des vmoyens de . caM, ci-apres - 
designes les moyens de calcul du demonstrateur, appUquant une fonction 
de hachage h ayant comme arguments le message M et tout ou partie de 
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chaque engagement M, pour calculer au moins un jeton T. Le disposMf 

t 

^emonstrateur comporte aussi des moyens de transmission, . ci-aprds 
designes les moyens de transmission du dispositif demonstrateur, pour 
traasmettre chaqne jeton T, via les moyens de connexion, au dispositif 
controleur. Le dispositif controleur ..comporte aussi des moyens de 
production de defis pour produire, apres avoir regu le jeton T, des defis d 
en nombre egal au nombre d'engagements R. Le dispositif controleur 
comporte aussi des moyens de transmission, ci-apres designes les moyens 
de transmission du contrdleur, pour transmettre les defis d au 
d&nonstrateur, via les moyens de connexion. 

® etape 3 : acte de repoiQse B 
Les moyens de reception des defis d du dispositif temoin, regoivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion. Les moyens de calcul des reponses D du dispositif 
temoin, calculent les reponses D a partir des defis d en appliquant le 
processus specific ci-dess\is. 

9 £tape 4 : acte de controle 
Les moyens de transmission du demonstrateur transmettent chaque 
reponse D au controleur. Le dispositif contrdleur comporte aussi des 
moyens de calcul, ci-apres designes les moyens de calcul du dispositif 
controleur, disposant des mvaleurs publiques Gi, G2, G^,, pour d'une 
part, calculer a partir de chaque defi d et de chaque reponse B un 
engagement reconstruit R' satisfaisant a une relation du type : 
R' s Gi Gj ^. . • . G„ ^ . mod B 

ou k une relation du type : 

R»sD^/G/^G2^....G„'^- modm 
puis d' autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R% un jeton T'. 



Le dispositif controleur comporte aussi des moyens de comparaison, ci- 
apres designes les moyens de compajaison du dispositif controleur, pour 
comparer le jeton calculi T' au jeton T fegu. 

Sigmatiire nameriqiie d'lm message et prerave de'S0J»»aiatljeEtidt6 
Dans une troisieme variante de realisation susceptible d'etre combinee 
avec Tune et/ou I'autre des deux premieres, le systeme selon I'invention 
est destine a prouver la signature num^rique d'un message M, ci-apres 
d6sig^€ le message sign^, par une entity appel^e entit6 signataire. 
Le message sign6 comprend.: 
-le message M, 

- les d6fis d et/ou les engagements R, 

. - les rep,©iases9© ; 
Operation desslgiptiaKe 

Ledit syst^me.^est-»;tel 5 qu'il .compoEtee!un.-dispositifesignataire associ^ a 
I'entit^ signataiii©»Ledit:disposi1a#'sigaata3!Ke est- au dispositif 

temoin par des*moyens d'intereomiexion et peut se presenter notamment 
sous la formc'de microcircuits logiqueswdans un obje5Naomade??par exemple 
sous la fonne d'un microprocesseur dans une carte bancaife a 
microprocesseur. 

Ledit systeme permet d'executer les etapes suivantes : 

® etape 1 : acte d' engagement R 
A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
d^signfe les moyens. de transmission du. dispositif t6moi%apoiiff^transmettre 
tout ou pande^de^ehaque^ engagementrttR<au di^psi4f*'s1^i^^re,- via les 
moyens d'intereomiexion. 
9 etape 2 : acte de de^ d 




Le dispositif signataire comporte des moyens de calcul, ci-apres designes 
les moyens de calcul du dispositif signataire, appliquant une fonction de 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R," pour calculer un train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d'engagements R. 

e ^tape 3 : acte de repome D 
Les moyens de reception des d^fis d du dispositif temoin, repoivent chaque 
defi d provenant du dispositif signataire, via les moyens d'interconnexion. 
Les moyens de calcul des reponses D du dispositif t^oin, calculent les 
reponses D a partir des defis d en appliquant le processus specific d.- 
dessus. 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
d6sign& les moyens de transmission du dispositif temoin, pour transmettre 
les reponses D au dispositif signataire, via les moyens d'interconnexion. 
Operation de contrdle 

Pour prouver l'authenticit6 du message M, une entity appel6e controleur, 
controle le message sign6. 

Ledit systeme comporte un dispositif contr61eur associe k I'entite 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un tenninal ou d'un serveur distant. Ledit dispositif controleur comporte 
des moyens de connexion pour le connecter electriquement, 
61ectromagn6tiquement, optiquement ou de maniere acoustique, 
notamment via un reseau de communication informatique, au dispositif 
signataire. 

Le dispositif signataire associe k I'entite signataire comporte des moyens 
de transmission, ci-apres designes les moyens de transmission du dispositif 
signataire, pour transmettre au dispositif controleur, le message signe, via 
les moyens de connexion. Ainsi, le dispositif contr61eur dispose d'un 
message signe comprenant : 




- le message M, 

- les defis d et/ou les engagonents R, 

- les rdponses D ; 

Le dispositdf eontrSleur comporte : 

- des moyens de calcul, ci-apres .d^sign^s les moy^ de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres design^ les moyens de 
comparaison du dispositif contrdleur. 

• cas ou le dispositif comtroleur. dispose des emgagemjents B, des diUs d, 
des riponses D, 

Dans le cas oil le dispositif contrdleur dispose des oigagements K, des 
defis d, des reponses D, les moyens de calcul et de comparaison du 
dispositif controleur verifient que les engagements R, les d6fis d et les 
reponses D satisfont a des relations du type 

R = Gi . G2 G„ D'' mod n 

ou k des relations du type : 

RsD^/G/^.G2*". ....G„'^. modm 
Puis, les moyens de calcul et de comparaison du dispositif controleur 
v^fient que le message M, les defis d et les engagements R satisfont h la 

- 

fonction de hachage 

d = h (message, R) 

• cas ou le dispositif contrSleiar dispose des deSs d et des r^pomses D 
Dans le cas ou le dispositif controleur dispose des defis d et des reponses 
D, les moyens de calcul du dispositif controleur calculent, a partir de 
chaque d6fi d et de chaque reponse D, des engagements R' satisfaisant a 
des relations du type J 

R' =Gi . G2 ... G„ D^mod m 

ou h des relations du type : 

R' = D'/G, ''*.G2'*^....G„*". modm 
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Puis, les moyens de calcul et de comparaison du dispositif contrdleur 

t 

v^fient que le message M et les defis d satisfont a la fonetion de hachage 

d = h (message, R') 
« cas ou le dispositif ' comtroleiar dispose des engagements R et des 
repomses D 

Dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, les moyens de calcul du dispositif controleur appliquent la 
fonetion de hachage et calculent d' tel que 

d* - h (message, R) 
Puis, les moyens de calcul et de comparaison du dispositif contr61eur 
verifient que les engagements R, les d^fis d» et les r6ponses D, satisfont a 
des relations du type : 

R = Gi . Gj " . . . G„ . mod n 
ou a des relations du type : 

RsD^/ G, ""'^ . Gj ... G^"'"" . mod n 
Dispositif Terminal 
L'invention conceme aussi un dispositif terminal associe a une entit6. Le 
dispositif terminal se pr6sente notamment sous la forme d'uii objet nomade 
par exemple sous la forme d*une carte bancaire a microprocesseur, Le 
dispositif terminal est destine i prouver k uh dispositif controleur : 

- Fauthenticite de I'entite et/ou 

- rintegrite d'un message M associe a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- m couples de valeurs privees Qi, Qj, ... Qm et publiques G„ Gj, ... 
G„ (m etant superieur ou egal h 1), 

- un module public n constitue par le produit de f facteurs premiers p„ 
P2, ... Pf (f etant sup6rieur ou egal a 2), 

- un exposant public v . 



Ledit module, ledit exposant et lesdites valexirs sont lies par des relations 
da type : 

G, . Q,^ s 1 . mod M ou Gi = Qj^moii*!! . 
Ledit exposant V est tel que 

v = 2f 

ou k est un paramdtre de securite plus grand que 1 . 

Ladite valeur publique G| est le carre g,' d'un nombre de base gj inferieur 
aux f facteurs premiers Pi, P2, • • • Pf • Le nombre de base gj est. tel que : 

les deux Equations : 

x^sgiinodii et x^s-gjmodn 
n'ont pas de solution en x dans Tanneau des entiers modulo n 
et tel que : 

Tequation : 

x^sgj^jnod n 
a des solutions en x dansJ.'anneau .desaen#ers modulo*!i . 
Ledit dispositif tenrunal--comprend im dispositif tdmoin comportant une 
zone m^moire contenant les f facteurs premiers Pi et/ou les parametres des 
restes chinois des facteurs premiers et/ou le module public la et/ou- les m 
valeurs privies Qi et/ou les tm composantes Q,, j (Qi, j = Qi Mod p,) des 
valeurs privies QjCt I'exposant public v . 
Ledit dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres design^ les moyens de 
production d'aleas du dispositif t&noin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
Tanneau des entiers modulo n . 

Chaque engagement est calfi^ii^ 

• soit en effectuant des operations du type 

E. = r^mod n 
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ou r est un alea produit par les moyens de production d'al6as, r 6tant tel 

I 

-■"que 0<r<n, 

• soit en effectuant des operations du type 

ou Fj est un al6a associe au nombre premier p, tel que 0 < < Pi , chaque r, 
appartenant a une collection d'al^as {r, , , ... produits par les moyens 
de production d'aleas, puis en appliqxiant la m6thode des restes chinois. 
Le dispositif t6moin comporte aussi : 

- des moyens de reception, ci-apr^ d^signes les moyens de reception 
des defis d du dispositif temoin, pour recevoir xm ou plusieurs defis d ; 
chaque defi d comportant m entiers d, ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci aprds designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
r^ponse D, 

• soit en effectuant des operations du ^e : 

D s r . Qi Q2 Qm ™o<l "I 

• soit en effectuant des operations du type : 

^ = r,. Qi,i . Qi,2 Qi^ mod Pi 
puis en appliquant la methode des restes chinois. 

Ledit dispositif temoin comporte aussi des moyens de transmission pour 
transmettre un ou plusieurs engagements R et une ou plusieurs reponses D. 
II y a autant de r6ponses D que de defis d que d' engagements M. Chaque 
groupe de nombres R, d, ID constituant un triplet not6 {R, d, D}. 

Cas de la preuve de I'authenticite d'ime emtite 
Dans une premiere variante de realisation le dispositif terminal selon 
I'invention est destine a prouver I'authenticite d'une entite appelee 
demonstrateur a ime entite appelee controleur. 

Ledit dispositif terminal est tel qu'il comporte un dispositif demonstrateur 
associ6 a I'entite demonstrateur. Ledit dispositif demonstrateur est 



interconnecte au dispositif t6moin par des moyens d'interconnexion. 11 
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peut se presenter notamment sons la forme de microcircuits logiques dans 
im objet nomade par exemple sous la fonne d'un microprocesseur dans une 
carte bancaire a microprocesseur. 

Ledit dispositif demonstrateur comporte aussi des moyens de connexion 
pour le connecter electriquement, electromagnetiquement, optiquement ou 
de maniere acoustique, notamment via un reseau de communication 
informatique, au dispositif controleur associe a Tentite contrSleur. Ledit 
dispositif controleur se presente notamment sous la forme d'un terminal ou 
d'lm serveur distant. 

Ledit dispositif terminal permet d'executer les etapes suivantes : 

® etape 1 : acte d^esngagesaaeutt R 
A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d'intercoimexion. Le dispositif demonstrateur comporte aussi des 
moyens de transmission, ci-apres designes les moyens de transmission du 
demonstrateur, pour transmettre tout ou partie de chaque engagement R au 
dispositif controleur, via les moyens de connexion. 

® etapes 2 et 3 : acte de defi d, acte de repoBse D 
Les moyens de reception des defis d du dispositif temoin, refoivent chaque 
defi d provenant du dispositif controleur via les moyens de connexion 
entre le dispositif controleur et le dispositif d6monstrateur et via les moyens 
d'interconnexion entre le dispositif demonstrateur et le dispositif temoin. 
Les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specific ci- 
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dessus. 

etape 4 : acte de controle 

Les moyens de transmission du demonstrateur transmettent chaque 
r^ponse D au dispositif controleur qui precede au controle. 

Cas de la preuve de Frntegiite d'lm message 
Dans une deuxidme variante de realisation susceptible d'6tre combin6e a la 
premiere, le dispositif terminal selon I'invention est destin6 k prouver a une 
entity appelee controleur rintegrit6 d'un message M associ^ k une entity 
appel^e demonstrateur. Ledit dispositif teiminal est tel qu'il comporte un 
dispositif demonstrateur associ6 k I'entite d6monstiateur, ledit dispositif 
demonstrateur est interconnecte au dispositif t6moin par des moyens 
d' interconnexion. II peut se presenter notamment sous la forme de 
microcircuits logiques dans un objet nomade par exemple sous la forme 
d'un microprocesseur dans une carte bancaire a microprocesseur. Ledit 
dispositif d^onstrateur comporte des moyens de connexion pour le 
connecter 61ectriquement, electromagn6tiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
infoimatique, au dispositif conti:61eur associe k I'entite contrSleur. Ledit 
dispositif contrdleur se presoQte notamment sous la forme d'un traninal ou 
d'un serveur distant. 

Ledit dispositif terminal permet d'executer les etapes suivantes : 

« etape 1 : acte d'emgagemeiit R 
A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus Le dispositif temoin comporte des moyens de transmission, d- 
apres designes les moyens de ti:ansmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d'interconnexion. 

® etapes 2 et 3 : acte de defi d, acte de repoiise B 




Le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
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d6sign6s les m^ns de calcul du demonstratsir, appliquant une fonction 
de hachage h ayant comine arguments le message M et tout ou partie de 
chaque engagement R, pour calculer au moins im jeton,.T. Le dispositif 
demonstrateur comporte aussi des moyens de transmission, ci-apres 
design^s les moyens de transmission du dispositif demonstrateur, pour 
transmettre chaque jeton T, via les moyens de connexion, au dispositif 
controleur. 

Ledit dispositif contrdleur produit, apres avoir re^u le jeton T, des defis d 
en nombre 6gal an nombre d'engagements R. 

Les moyens de reception des d^fis d du dispositif temoin, re9oivent chaque 
defi d provenant du dispositif contrSleur via les moyens* de connexion 
entre le dispositif controleur et le dispositif demonstrateur et via les moyens 
d' interconnexion entre le dispositif demonstrateur et le dispositif temoin. 
Les moyens de calcul des repomses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus sp6cifi6 ci- 
dessus. 

o etape 4 : acte de contrdle 
Les moyens de transmission du demonstrateur transmettent chaque 
reponse D au dispositif contrdleur qui procede au controle. 

Sigsaatora Bwrnlrique d'un message et preuve de son aiithemticite 
Dans une troisieme variante de realisation susceptible d'Stre combinee 
avec Tune ou I'autre des deux premieres, le dispositif terminal selon 
I'invention est destine a produire la signature num6rique d'un message M, 
ci-aprds designe le message signe, par une entity appelee entity signataire. 
Le message sign6 comprend : 

- le message'M, « 

- les d^fis d et/ou les engagemente R, 

- les reponses D. 




Ledit dispositif tenninal est tel qu'il comporte vm dispositif signataire 
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associe a Tentite signataire, I^dit dispositif signataire est interconnecte an 
dispositif temoin par des moyens d'interconnexion. H pent se presenter 
notamment sous la forme de microcircnits logiques dans nn objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. Ledit dispositif signataire comporte des moyens de 
connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via uh reseau de 
communication infonnatique, au dispositif controleur associe a I'entite 
contrSleur. Ledit dispositif controleur se presente notamment sous la forme 
d'lm terminal ou d'un serveur distant. 
Operation de sigmatore 

Ledit dispositif tenninal permet d'executer les etapes suivantes : 

® etape 1 : acte d'eiigagement R 
A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processxas specific 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, d- 
apres designes les moyens de transmission du dispositif t&noin, pour 
transmettre tout ou partie de chaque engagement R au dispositif signataire, 
via les moyens d'interconnexion. 

® etape 2 : acte de defi d 
Le dispositif signataire comporte des moyens de calcul, ci-apres designes 
les moyens de calcul du dispositif signataire, appliquant une fonction de 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer un train binaire et extraire de ce train 
binaire des d6fis d en nombre egal au nombre d'engagements R. 

® etape 3 : acte de reponse D 
Les moyens de reception des defis d du dispositif temoin re^oivent chaque 
defi d provenant du dispositif signataire, via les moyens d'interconnexion. 



Les moyens de calcul des reponses D du dispositif temoin, calculent les 
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reponses D k partir des d6fis d en appHquant le processus specific d- 
dessus. Le disposMf temoin comporte des moyens de transmission, ci-apres 
d6signes les moyens de transmission du dispositif temoin, pour transmettre 
les reponses D au dispositif signataire, via les moyens d' interconnexion. 

Dispositif controleur 
L' invention conceme aussi un dispositif controleur. Le dispositif 
contrSleur peut se presenter notamment. sous la forme d'un terminal ou 
d'un serveur distant associ^ a une entite contrdleur. Le dispositif 
controleur est destine k contrSler : 

- rauthenticit6 d'une entite et/ou 

- rint6grit6iS^t2i"flaiessage M assode a-cette entit«liviaj 

Cette ,?preuve est itablie au moy^a^jde ..tout ou .paasdei des parametres 
suivants'iou derives sdef^eiiEEsei: , 

- m couplesadefevaleuis-pubHquesi©i,,02» , . - Grtr^pisetanti;sup6rieur ou 
egalllO, 

- un modide public n constiitue par le produit de«f facteurs premiers p,, 
P2> — Pf (f ^tant superieur ou egal a 2) mconnus du dispositif contrdleur et 
de I'entite controleur associ6, 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valours sont U6s par des relations 

du type : 

Gi.Q^ = l, mod n ou Gi = Qj^'mod n ; 
ou Qi-.designe une valeur privee, inconnue du dispositif contrdleur, 
associee a la valeur publique Gj . 
L*exposaat v esfrtel que - 

ou k est un parametre de securit6 plus grand que 1 . 

Ladite valeur publique G5 est le carre d'un nombre de base & inf6rieur 
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aux ff facteiirs premiers P29 Pf • Le nombre de base g est tel que : 

les deux equations : 

s^ = gimodB et x^ = - gjisiodii 
n'ont pas de solution eiti x dans Tanneau des entiers modulo la 
et tel que : 

Tequation : . 

s"" s ^ mod sft 
a des solutions en x dans Tanneau des entiers modxilo m . 

Cas de la preiave de I'aatfaeiiticit^ d'une entiti 
Dans une premiere variante de realisation le dispositif controleur selon 
I'invention est destine a prouver Tauthenticite d'une entite appelee 
demonstrateur a une entite appelee controleur, 

Ledit dispositif controleur comporte des moyens de connexion pour le 
connecter 61ectriquement, 61ectromagn6tiquement, optiquement ou de 
manidre acoustique, notamment via un reseau de communication 
informatique, a un dispositif demonstrateur associee a Tentite 
demonstrateur. 

Ledit dispositif controleur permet d'executer les etapes suivantes : 

® etapes 1 et 2 : acte d'eagagement acte de defl d 
Ledit dispositif controleur comporte aussi des moyens de reception de tout 
ou partie des engagements R provenant du dispositif demonstrateur, via les 
moyens de connexion. 

Le dispositif controleur comporte des moyens de production de defis pour 
produire, apres avoir re?u tout ou partie de chaque engagement des 
defis d en nombre egal au nombre d' engagements chaque defi d 
comportant m entiers dj ci-apres appeles defis elementaires. 
Le dispositif controleur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du controleur, pour transmettre 
les defis d au demonstrateur, via les moyens de connexion. 
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o Stapes 3 et 4 : acte de repomse D, acte de comtrdle 
Ledit dispositif contrdleur comporte aussi : __y 

- des moyens de reception des reponses D provenant. du dispositif 
demonstratew, -via4es'>iiioyeiis<'de connexion 

- des moyens de calcul, ci-apres .designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apits designes les moyens de 
comparaison du dispositif contrSleur. 

Premier cas : le demonstrateur a transmis ume partie de chaque 
engagement R 

Dans le cas ou les moyens de reception du dispositif contrSleur ont regus 
une partie de-chaque engagement R, les moyens de caleul- du dispositif 
controleur,. disposant des m valeurs publiques Gj, Gj, ... G^j^calculent a 
partir de chaque d6fi d et de chaque reponse D un engagfment reconstniit 
R' satisfaisant h une relation du type : 

R» = Gi"* . Gj G„ *" . mod-n 
ou i une relatiion-'du type, 

W^WI G, . Gj G„ . mod m , 
Les moyens de comparaison du dispositif contrdleur comparent chaque 
engagement reconstniit R' a tout ou partie de chaque engagement R repu. 
Dewsieme cas : le demomstrateiar a transmis I'imtegraMte de chaque 
engagement R 

Dans le cas ou les moyens de reception du dispositif controleur ont re9us 
I'int^gralit^ de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeuis publiques 
Gi, G2, ... G^ yerifient que chaque engagement R satisfai-fea une relation 
du type : 

RsGi'^^Gz'^. ...G„,'^.i>''modjQ 
ou a une relation du type. 
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R = / Gi . . . G„ *" . mod n . 
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Cas de la prejive de Fimtegrite d'lm message 
Dans une deuxieme variante de realisation susceptible d'etre combin^e 
avec la premiere, le dispositif controleur selon I'invention est destine a 
prouver l'int6grite d'un message M associe a une entite appelee 
d^monstrateur. 

Ledit dispositif contrdleur comporte des moyens de connexion pour le 
connecter electriquement, 61ectromagn6tiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
Lofomiatique, a un dispositif d6monstrateur associ^e k Tentit^ 
demonstrateur. 

Ledit dispositif controleur permet d'executer les Stapes suivantes : 

9 etapes 1 et 2 : acte d'emgagement R, acte de d<§fi d 
Ledit dispositif contrSleur comporte aussi des moyens de reception de 
jetons T provenant du dispositif demonstrateur, via les moyens de 
connexion. Le dispositif contr61eur comporte des moyens de production 
de d^fis pour produire, apres avoir re?u le jeton T, des defis d en nombre 
egal au nombre d'engagements R, chaque defi d comportant m entiers d, 
ci-apres appeles defis elementaires. Le dispositif contrSleur comporte aussi 
des moyens de transmission, ci-apr^s designes les moyens de transmission 
du contrdleur, pour transmettre les defis d au demonstrateur, via les moyens 
de connexion. 

« Stapes 3 et 4 : acte de r^ponse D, acte de comtrole 
Ledit dispositif controleur comporte des moyens de reception des reponses 
D provenant du dispositif d&nonstrateur, via les moyens de connexion. 
Ledit dispositif controleur comporte aussi des moyens de calcul, d-apr^s 
designes les moyens de calcul du dispositif contrdleur, disposant des m 
valeurs pubUques G^, Gj, ... G„, pour d'une part, calculer k partir de 
chaque d^fi d et de chaque reponse D un engagement reconstruit R' 



satisfaisant a une relation du type : 

R' H G/* . Gj . mod n 

ou a line relation du type : 

W = W/ Gi . G2 ^. ... G„ . moSm 
puis d' autre part, calculer en appliquaut une fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R', un jeton T'. 

Le dispositif controleur comporte aussi des moyens de comparaison, ci- 
aprds d6sign6s les moyens de comparaison du dispositif contrdleur, pour 
comparer le jeton calculi T' au jeton T repu. 

SigBatiare memeriqiae d'lm message et premve de son authenticity 
Dans une troisieme variante de reaiisation-susceptible d'etre combinee 
avecrune et/ou I'autre desadeux premieres, le dispositif^controleur selon 
i'invention^f est^-destiinia^a ^rouyeE^rauthenticiteMfedui&message M en 
contrdlant, par*une'en€l!^ppelee'«eontii61eiiFi.iun*messag^sign6: 
Le messag©'Sipi6?«6ims9'par un dispositif signataire-associ6 une entity 
signataire disposant d'une fonotion de hacliage h (message, R)v comprend: 

- le message M, 

- des d^fis d et/ou des engagements R, 

- des reponses D ; 
Operatnom de contrdle 

Ledit dispositif controleur comporte des moyens de connexion pour le 
connecter 61ectriquement, 61ectromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
infoimatique, ^un dispositif signataire associ6e h I'entit^ signataire. Ledit 
dispositif contrdleur re?oit le message sign6 du dispositif signataire, via les 
moyens "de^connexaon. 
Le dispositif controleur comporte : 

- des moyens de calcul, ci-apres d^signes les moyens de calcul du 



dispositif contrdleur, 

t 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 

® cas on le disposMf controleur dispose des eaigagemeBts des defis d, 
des repoases 

Dans le cas ou le dispositif controleur dispose des engagements des 
defis d, des r6ponses D, les moyens de calcul et de comparaison du 
dispositif contrdleur verifient que les engagements 5J, les d6fis d et les 
reponses D satisfont a des relations, du type 

R = Gj Gj ^. . . • ^ . mod n 
ou a des relations du type : 

R = DVG/^G2^. ...G^**™- modB 
Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage : 

d = h (message, R) 
« cas oh le dispositif coiKtrSleur dispose des defis d et des repomses D 
Dans le cas ou le dispositif controleur dispose des defis d et des reponses 
D, les moyens de calcul du dispositif contr61eur calculent, a partir de 
chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 
des relations du type : 

R^^G/^Gj^.-.G^^.D'^mode 

ou a des relations du type : 

R'sD^/Gl^^G2*^.•.•G„^. modn 
puis, les moyens de calcul et de comparaison du dispositif contrSleur 
verifient que le message M et les defis d satisfont a la fonction de hachage 

d = li (message, R') 
« cas OM le dispositif coiatroleiir dispose des eiagagemeiats R et des 
repoMses D 



Dans le cas ou le dispositif contrdleur dispose des engagements R et des 

I 

reponses D, les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = h (message, R) 
Puis, les moyens de calcul et de coiqiparaison du dispositif controleur 
verifient que les engagements E, les defis d' et les reponses satisfont a 
des relations du type : 

R = . G2 ^'^ . • o • mod n 

ou a des relations du type : 

R = DV Gi • G2 . . . G„ ^'"^ . mod n 



Rappelons I'objectif de la technologie GQ : I'authentification dynamique 
d'entites et de messages associes, . ainsi que la signature numerique de 
messages. 

La version classique de la technologie GQ fait appel k la technologie RSA. 
Mais, si la technologie RSA depend bel et bien de la factorisation, cette 
dependance n'est pas une equivalence, loin s'en faut. comme le d^montrent 
les attaques dites « multipUcatives » centre diverses normes de signature 
numerique mettant en oeuvre la technologie RSA. 

Dans le cadre de la technologie GQ2, la presente partie de I'invention porte 
plus pr^cisement sur ri^tiH^^tion des ieux de cles G02 dans le cadre de 
I'authentification dynamique et de la signature numerique. La technologie 
GQ2 ne fait pas appel a la technologie RSA. L'objectif est double : d'une 
part, ameliorer les performances par rapport a la technologie RSA ; d'autre 
part, eviter les problemes inherents a la technologie RSA. La cle privee 
GQ2 est la factorisation du module n. Toute attaque au niveau de striplets 
GQ2 se lamboe k la factorisation du module ti : il y a cette fois equivalence. 
Avec la technologie GQ2, la charge de travail est reduite, tant pour I'entite 
qui signe ou qui s'authentifie que pour celle qui controle. GrSce h. un 
meilleur usage du probleme de la factorisation, tant en security qu'en 
performance, la technologie GQ2 concurrence la technologie RSA. 
La technologie GQ2 utilise un ou plusieurs petits nombres entiers plus 
grands que 1, disons m petits nombres entiers (m > 1) appeles « nombres de 
base » et notes par g, Les nombres de base etant fixes de g, a g„ avec m > 1, 
une cl6 publique de verification <v, n) est choisie de la maniere suivante. 
L'exposant pubUc de v&ification v est 2* ot k est un petit nombre entier 
phis grand que 1 (it ^ 2). Le module public n est le produit d'au moins deux 
facteurs premiers plus grands que les nombres de base, disons / facteurs 
premiers {f> 2) notes par p^^ dep,...p^ Les/facteurs premiers sont choisis 
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de fa9on a ce que le module public n ait les proprietes smvantes par rapport 
a chacun des m nombres de base de ^, ^ g„. _ , 

- D'une part, les Equations (1) et. (2) n'ont pas de solutiorn en x dans 
raimeau des entiers modulo n, c'est-^-dire que g, et -g, sont deux r^sidus 
non quadratiques (mod n). 

=gi (mod n) (1) 
^-gi ("lod n) (2) 

- D'autre part, I'^quation (3) a des solutions enx dans I'anneau des entiers 
modulo n. 

x^" ^gf (mod n) (3) 
La cl6 publique de verification <v, «) 6tant fixee selon les nombres de base 
de g k g„ avec-m > 1, chaque nombre de base g, determine un couple de 
valeurs GQ2 comprenant une valeur publique G, et une valeur priv6e Q, : 
soit m couples notfe de G. Q, a G„ Q„. La valeur pubUque G, est le carre du 
nombre de base gr. soit G, = g^ La valeur privee a est une des solutions a 
I'equation (3) ou bien I'inverse (mod n) d'une telle solution. 
De meme que le module n se decompose en/facteurs premiers, I'anneau 
des entiers modulo n se decompose en / corps de Galois, de CG(p,) a 
CG(p). Void les projections des equations (1), (2) et (3) dans CG(pj). 
x^^gi (mod pj) (1-a) 
x^=-g. (mod Pj) (2.a) 
x^'^gf (mod Pj) (3.a) 
Chaque valeur privee Peut se representer de maniere unique par / 
composantes privees, une par facteur premier: = Q, (modp). Chaque 
composante priv6e est une solution a I'equation (3.a) ou bien I'inverse 
(mod;?,) d'une teUe "solution. Apres que toutes les solutions possibles a 
chaque'6qu,atian (3.a) aient ae caleule.es,< la technique des restes chinois 
permet d'etablir toutes les valeurs possibles pour chaque valeur privee Q, a 
partir de /comp<»antes de Q,, kQ^:Q, = Restes Chinois (Q,,, e«» ••• 
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de maniere a obtenir toutes les solutions possibles a I'equation (3). 
Voici la technique des restes chinois': soient deux nombres entiers positifs 
premiers entie eux a et ft tels que 0 < a < fc, et deux composantes AT, de 0 a 
a-l et a; de 0 a &-1 ; il s'agit de daerminer X= Restes Chinois X^, 
c'est-^-dire, le nombre unique J^Tde 0 ^ a.b-l tel que X„^X(moda) et 
X,=Ximod b). Voici le paramdtre des restes chinois : a s {fe (mod a)}"' 
(mod a). Voici I'op&ation des restes chinois : e s X, (mod a) ; 5 = X,-e ; si 
Sestn6gatif,remplacer5paT.5+fl;Ysa.6 (moda) ;X= Y- 
Lorsque les facteurs premiers sont ranges dans I'ordre croissant, du plus 
petit p. au phis grand parametres des restes chinois peuvent etre les 
suivants (il y en a f-h c'est-^-dire, un de moins que de facteurs premiers). 
Le premier paramdtre des restes chinois est a s {p, (modp.)}"' (modp.). Le 
second parametre des restes chinois est p s {p,p, (mod;;,)}-' (mod;;,). Le / 
ieme paramdtre des restes chinois est ^ s . . . p^, (mod/?^}"' imodp^. 
Et ainsi de suite. Ensuite, en/-l operations des restes chinois, on ^bUt un 
premier r^sultat (mod p, foisp,) avec le premier parametre, puis, un second 
resultat imoAp.p, fois p,y avec le second parametre, et ainsi de suite, 
jusqu'^unr&ultat(modp.. ...Pj_, foisp). c'est-a-dire, (modn). 
n y a plusieurs repr&entations possibles de la cle privte GQ2, ce qui traduit 
le polymorpMsme de la cU privle GQ2. Les diverses representations 
s'averent equivalentes : elles se ramteent toutes k la connaissance de la 
factorisation du module n qui est la veritable cle priv6e GQ2. SUa 
.^re^er^tation a ^^^t. le com portpment de Fentiti^ qui signe ou qui 
.'...thentifie. eU^ n'«ffert^ nas le romportemen t de Tentit^ qui contr61e. 
Voici les trois principales repr6sentations possibles de la cle priv^e GQ2. 
ni. r ^re^ntation -^f^T^ t..hi,ologie GO consiste a stocker m 
valeurs priv6es Q. et la cl6 publique de v&ification <v, n> ; en technologie 
GQ2, cette representation est concurrence par les deux suivantes. 2) La 
^rLnt.ti»n onti^^i^ -r. tatmes de charges de travail consiste a stocker 
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I'exposant public v, les/facteurs premiers m./composantes privees et 
f-\ paramdtres des restes chinois. 3)' La represe ntation optiinale en termes 
Hf^ faille de cle orivee consistel stocker rexposantpublic v, les m nombres 
de base g, et les/faeteurs premiers Pj, puis, a commencer chaquemtiUsaion 
en etabUssant ou bien m valeurs privees jQ, et le module n pour se ramener a 
la premiere representation, ou bien m.f composantes privees Q^j et f-\ 
parametres des restes chinois pour se ramener a la seconde. 
Les entitfe qui signent ou s'authentifient peuvent toutes utiliser les memes 
nombres de base ; sauf centre indication, les m nombres de base de g^ a g„ 
peuvent alors avantageusement €tre les m premiers nombres premiers. 
Parce que la security du m^canisme d'authentification dynamique ou de 
signature numerique equivaut a la connaissamte d'une- decomposition du 
module, la technologig GQ2 ne pennet pas^de dislangpjr simplement deux 
entites utilisant r le meme module^ tGeneralemei^fe chaque. ent^ qui 
s'authentifie ou signe^dispose-de^son-npropres module. GQ2, Toutefois, on 
pent specifier des modules GQ2 a quatre^#eteurs premiers dont deux sont 
connus d'une entity et les deux autcessd'une*autee!?«v 

Voici un premier jeu de cl6s GQ2 avec k^ €, soit v = 64,-^iw = 3, soit trois 
nombres de base : ^. = 3, = 5 et ^, = 7, et / = 3, soit un module a trois 
facteurs premiers : deux congrus a 3 (mod 4) et un ^ 5 (mod 8). Notons que 
g = 2 est incompatible avec un facteur premier congru k 5 (mod 8). 
= 03CD2F4F21E0EAD60266D5CFCEBB6954683493E2E833 
= 0583B097E8D8D777BAB3874F2E76659BB614F985EC1B 
p^ = 0C363CD93D6B3FEC78EE13D7BE9D84354B8FDD6DA1FD 
n-p, •P^ =FFFF81CEA149DCF2F72EB449C5724742FE2A3630D9 
02CC00E5aa?EElB?57F3BDC49BE9GBD4I)9446^B72i^28GFBB26144 

CDF4BBDBA3C97#78E29GC9^iTO^^tia©»», 

Q, , = 0279C60D216696CD6F7526E23512DAE090CFF879FDDB 

O = 7C977FC38F8413A284E9CE4EDEF4AEF35BF7793B89 



^3 , = 6FB3B9C05A03D7CADA9A3425571EF5ECC54D7A7B6F 
q'^ = 0;88EC6AA1E87613D832E2B80E5AE8C1DF2E74BFF502 
g|^=^4792CE70284D16E9A158C688A7B3FEAF9C40056469E 

= FDC4A8E53E18SA4BA793E93BEE5C636DA731BDCA4E 
q'^ = 07BC1AB048A2EAFDAB59BD40CCF2F657AD8A6B573BDE 
e^ = OAE8551E116A3AC089566DFDB3AE003CF174FC4E4877 

= 01682D490041913A4EA5B80D16B685E4A6DD88070501 
e' = D7ElCAF28192CED6549FF457708D50A7481572DD5F2C335D8 
C69E22521B510B64454FB7A19AEC8D06985558E764C6991B05FC2A 

C74D9743435AB4D7CF0FF6557 

= CB1ED6B1DD649B89B9638DC33876C98AC7AF689E9D1359E4 

DB17563B9B3DC582D5271949F3DBA5A70C108F561A274405A5CB8 
82288273 ADE67353A5BC3 16C093 

e3 = 09AA6F4930E51A70CCDFA77442B10770DDlCD77490E3398A 
AD9DC50249C34312915E55917A1ED4D83AA3D607E3EB5C8B197 

697238537FE7A0195C5E8373EB74D 

Void un second jeu de cles GQ2, avec A: = 9, soit v = 512, »» = 2, soit deux 
nombres de base : ^, = 2 et = 3, et/= 3. soit un module a trois facteurs 

premiers congrus k 3 (mod 4). 

= 03852103E40CD4F06FA7BAA9CC8D5BCE96E3984570CB 

p[ = 062AC9EC42AA3E688DC2BC871C8315CB939089B61DD7 

= 0BCADEC219F1DFBB8AB5FE808A0FFCB53458284ED8E3 

« =P. 'P2'P. = FFFF5401ECD9E537F167A80COA91 1 1986F7A8EBA4D 
6698AD68FF670DE5D9D77DFF00716DC7539F7CBBCF969E73A0C49 

761B276A8E6B6977A21D51669D039F1D7 

, = 0260BC7243C22450D566B5C6EF74AA29F2B927AF68E1 

Q^^ = 0326C12FC7991ECDC9BB8D7C1C4501BE1BAE9485300E 
= 02D0B4CC95A2DD435D0E22BFBB29C59418306F6CD00A 
= 045ECB881387582E7C556887784D2671CA118E22FCF2 



g,3 = B0C2B1F808D24F6376E3A534EB555EF54E6AEF5982 
= 0AB9F81DF^62F58A52D937^6D81F48FFA4A87A9935AB 
27F7B9FC82C19ACAE47F3FE9560C3536A7E90F8C3C5 1E13C 
35F32mD8€6823DF753685DD63555D2146FCDB9B28DA367327PD6 

EDDAO92D0CF108D0AB7084O5DA46 

= 230DOB9595E5AD388F1F447A69918905EBFB05910582E5BA64 

9C94B0B2661E49DF3C9B42FEF1F37A7909B1C2DD54113ACF87C6 

Fl 1F19.874DE7DC5D1DF2A9252D 

Authentification dynamique 

Le m^canisme d'autheatification dynamique est destine a prouver a una 
entity appel6e comtrdleiar I'authenticite d'une autre entite appel6e 
d^momtratewir ainsi que I'authenticite d'un eventuel message associe M, 
de sorte que le contrSleur s'assure qu'il s'agit bien du demonstrateur et 
eventueUement que lui et le demonstrateur parlent bien du meme message 
M. Le message associe Mest optiomiel, ce qui signifie qu'il peut 6tre vide. 
Le mecanisme d'authentification dynamique est une sequence de quatre 
actes : un acte d'engagement, un acte de defi. un acta de reponse et un acte 
de controle. Le demonstrateur joue les actes d'engagement et de reponse. 
Le contrdleur joue les actes de defi et de controle. 

An sein do d^moBstratewr, om pent isoler im temoiffl, de maniere a isoler 
les paramdtres et les fonctions les plus sensibles du demonstrateur, c'est-a- 
dire, la production des engagements et des rdponses. Le temoin dispose du 
parametre k et de la cl6 privee GQ2, c'est-a-dire. de la factorisation du 
module n selon I'une des trois representations 6voquees ci-dessus : •les/ 
facteurs premiers et les m nombres de base, « les m./composantes privies, 
les/fecteurs premiers et/-l parametres des restes chinois, « les m valeurs 
privies et le module n. 

Le temoin peut correspondre a une r^aHsation particuUere, par exemple, 
« une carte i puce reU^e ^ un PC foimant ensemble le demonstrateur, ou 



encore, ® des programmes particvdierement proteges au sein d'un PC, ou 
encore, » des programmes particulierement proteges au sein d'une carte a 
puce. Le temoin £isi isoU estsemblabie au temoin defini ci-apres au sein 
du signataire. A chaque execution du mecanisme, le t&noin produit un ou 
plusieurs engagements /?, puis, autant de reponses D k autant de defis d. 
Chaque ensemble {R, d, D} constitue un triplet GQ2. 
Outre qu'U comprend le temoin, le demonstrateur dispose egalement, le cas 
echeant, d'une fonction de hachage et d'un message M. 
Le contrSleur dispose du module n et des paramdtres ^ et m ; le cas echeant, 
il dispose Egalement de la meme fonction de hachage et d'un message M'. 
Le controleur est apte k leconstituer un engagement R ' a partir de n'importe 
quel defi d et de n'importe quelle r6ponse D. Les paramdtres k tl m 
lenseignent le contrSleur. Faute d'indication contraire, les m nombres de 
base de g, a g„ sent les m premiers nombres premiers. Chaque defi d doit 
comporter m defis elementaires notes de d, h d„: im par nombre de base. 
Chaque defi ^lementaire de d, a d„ doit prendre une valeur de 0 ^ I'^'-l (les 
valeurs de v/2 a v-1 ne sont pas utilisees). Typiquement, chaque d6fi est 
code par m fois k-l bits (et non pas m fois k bits). Par exemple, avec ^ = 6 
et m = 3 et les nombres de base 3, 5 et 7, chaque defi comporte 15 bits 
transmis sur deux octets ; avec = 9, m = 2 et les nombres de base 2 et 3, 
chaque d6fi comporte 16 bits transmis sur deux octets. Lorsque les {k-l).m 
defis possibles sont 6galement probables, la valeur (k-l).m determine la 
securite apportee par chaque triplet GQ2 : un imposteur qui, par definition, 
ne connait pas la factorisation du module n a exactement une chance de 
succes sur 2^'^'^. Lorsque (A-l).m vaut de 15 a 20, un triplet suffit h assurer 
•. raisonnablement I'authentification dynamique. Pour atteindre n'importe 
quel niveau de security, on peut produire des triplets en parallele ; 6n pent 
egalement en produire en sequence, c'est-a-dire, r6peter I'execution du 
mecanisme. 



1) L'acte d'emgagemneaiit comprend les operations suivantes. 
Lorsque le temoin dispose des m valeurs pnvees deQ,hQ„ et du module n, 
il tire au hasard et ea priv6 un ou plusieurs .al6a&^ (0 < r < n) ; puis, par k 
elevations successives au can^ (mod n), il transforme chaque .alea r en un 
engagement iJ. 

R = r^ (mod/i) 

Voici un exemple avec le premier jeu de cles avec k=6. 

r = B8AD426ClAC0165E94B894AC2437ClB1797EF562CFA53A4AF8 

43131FF1C89CFDA131207194710EF9C010E8F09C60D9815121981260 
919967C3E2FB4B4566088E 

R = FFDD736B666F41FB771776D9D50DB7CDF03F3D976471B25C56 
D3AF07BE692GBlFE4EE70FA77032BECD8411B813B4C2t210C6B04 

49CC4292E5DD2BDB0082SAR1 8 

Lorsque le temoin disposc-des / faeteurs premiers-«de a et des m.f 
composantes privees.^^,, U tire aufehasard et en privi une^ ou plusieurs 
collections de /aleas ^^ chaque coUeetion comporte un alea par facteur 
premier j7, (0 < r, < p) ; puis,'par A: Elevations successives au carr6 (mod/?^, 
il transforme chaque al6a r, en unecomposante d'engagement «^ 

Ri=ry {mod Pi) 

Voici un exemple avec le second jeu de cl^s avec k = 9. 
r, = B0418EABEBADF0553A28903F74472CD49EE8C82D86 
i?. = 022B365F0BEA8E157E94A9DEB0512827FFD5149880F1 
= 75A8DA8FE0E60BD55D28A218E31347732339F1D667 
= 057E43A242C485FC20DEEF291C774CF1B30F0163DEC2 
r, = 0D74D2BDA5302CF8BE2F6D406249D148C6960A7D27 
R^ = 06B14G8FG4DD312BA3B475F1F40CF01ACE2A88D5BB3C 
Pour-ehaque eoUeci^pi^ejCcoinpssam^s d'engagement, le temoin etablit un 
engagement selon la technique des restes chinois. fl y a autant 
d' engagements que^de collections d'aleas. 



R = Restes Chinois(i?:,, R2, • ■ R) 
R = 28AA7F12259BFBA81368EB49C93EEAB3F3EC6BF73B0EBD7 

D3FC8395CFA1AD7FC0F9DAC169A4F6F1C46FB4C3458D1E37C9 
9123B56446F6C928736B17B4BA4A529 

Dans les deux cas, le demonstrateur transmet au controleur tout ou partie de 
chaque engagement R, ou bien, un code de hachage M obtenu en hachant 
chaque engagement et un message M. 

2) L'acfte de d^ffl consiste d tirer au hasard un ou plusieurs defis d 
composes chacun de m defis 616mentaires d, d, ... d„; chaque defi 
elementaire d, prend I'une des valeurs de 0 ^ v/2-1. 

d=d^dj...d„ 

Voici un exemple pour le premier jeu de cl6s avec A: = 6 et m = 3. 

J,= 10110 = 22=*16';t/, = 00111=7;^^ = 00010 = 2, 
d=0\\dj\d,\\ = 0101 lOOQ 11 100010= 58 E2 

Voici un exemple pour le second jeu de cles avec A: = 9 et m = 2. 

d= d^W d^=5SB2 = soit en decimal, 88 et 226 

Le contrdleur transmet au demonstrateur chaque defi d. 

3) L'acte de ripomse comporte les operations suivantes. 

Lorsque le t^moin dispose des m valeurs privtes de Q, a Q„ et du module n, 
U calcule une ou plusieurs reponses D en utilisant chaque alea r de Facte 
d'engagement et les valeurs privees selon les d6fis 616mentaires. 

X ^ Q^KQi^ ...Qi" (mod«) 
Dsr.X (mod/i) 
Voici un exemple pour le premier jeu de cles. 

D = FF257422ECD3C7A03706B9A7B28EE3FC3A4E974AEDCDF386 
5EEF38760B859FDB5333E904BBDD37B097A989F69b85FE8EF6480 

A2C6A29027347SiFEC9171990A17 

Lorsque le t6moin dispose des / facteuis premiers de p, k et des m.f 
composantes priV6es Q,,. il calcule une ou plusieurs collections de / 
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composantes de reponse en utilisant chaque collection d'aleas de I'acte 
d'engagement : chaque collection de composantes de reponse comporte une 
composante par facteur premier. 

Di^ViJCi (mod Pi) 
Voici im exemple pour le second jeu de cl6s, 

02660ADF3C73B6DC15E196152322DDE8EB5B35775E38 

A=''2-e./-0a/(mod/..)= 

04C15028E5FD1 175724376C1 1BE77052205F7C62AE3B 
A = ''3-e./.a/(inodi73) = 

0903D20DOC306C8EDA9D8FB5B3BEB55E061AB39CCF52 
Pour chaque collection de composantes de reponse, le temoin etablit une 
rdponse selon la technique des restes chinois. II y a autant de reponses que 
de d6fis. 

D = Restes Chinois(£>„ D^, ... D) 
D = 85C3B00296426E97897F73C7DC6341FB8FFE6E879AE12EF1F36 
4CBB55BC44DEC437208CF530F8402BD9C5 1 iF5FB3B3A309257A00 
195A7305C6FF3323F72DC1AB 

Dans les deiix cas, le demonstrateur transmet chaque reponse B au 
contrSleur. 

4) L'acte de comtrole consiste a contrdler que chaque triplet {R, d, D} 
verifie une Equation du type suivant pour une valeur non nuUe, 

rJIg^' =2)2* (mod n) oubien R = D^ .flcf' (mod n) 
'it ' '=1 
ou bien, k retablir chaque engagement : ancun ne doit etre nul. 

i{«s£>2*/J|Gf' (mod «) oubien R'^ D^' flOf' (.mod n) 
Eventuellement, le controleur calcule ensuite un code de hachage H' en 



hachant chaque engagement retabU R'eitim message M'. L'authentification 
dynamique est reussie lorsque le contrSleur retrouve ainsi ce qu'il a re^u k 
I'issue de I'acte d'engagement, c'est-k-dire. tout ou partie de chaque 
engagement R, ou bien, le code de hachage H. 

Par exemple, une sequence d' operations etoentaires transfonne la r6ponse 
D en un engagement R'. La sequence comprend k carres (mod «) s6par6s 
par k-l divisions ou multiplications (mod n) par des nombres de base. Pour 
la / ieme division ou multiplication, qui s'effectue entre le i idme carre et le 
/+1 ieme caire, le / ieme bit du d6fi 61ementaire J, indique s'il faut utiliser 
g„ le I i^me bit du d6fi 61ementaire indique s'il faut utiliser g^, ... 
jusqu'au / idme bit du defi 616mentaire d„ qui indique s'il faut utiliser 
Voici un exemple pour le premier jeu de cles. 

If (modn) = FD12E8E1F1370AEC9C7BA2E05C80AD2B692D341D46F3 
2B93948715491F0EB091B7606CA1E744E0688367D7BB998F7B73D5F7 

FDA95D5BD6347DC 8B978C A2 1 773 3 

3 . D' (mod n) = F739B70891 1 166DFE715800D8A9D78FC3F332FF622D 
3EAB8E7977C68AD44962BEE4DAE3C0345D1CB34526D3B67EBE8BF 

987041B4852890D83FC6B48D3EF6A9DF 

3^ . D* (modn) = 682A7AF280C49FE230BEE354BF6FFB30B7519E3C8 
92DD07E5A781225BBD33920E5ADABBCD7284966D71141EAA17AF 

8826635790743EA7D9A15A33ACC7491D4A7 

3^ . D' (mod n) = BE9D828989A2C184E34BA8FE0F384811642B7B548F 
870699E7869F8ED851FC3DB3830B2400C516511AOC28AFDD210EC3 

939E69D413F0BABC6DEC441974B1A291 

3' . 5 . (mod n) = 2B40122E225CD858B26D27B768632923F2BBE5 

DB15CA9EFA77EFA667E554A02AD1A1E4F6B59BD9E1AE4A537D 

4AC1E89C2235C363830EBF4DB42CEA3DA98CFE00 

3"' . 5' . (mod n) = BDD3B34C90ABBC870C604E27E7F2E9DB2D383 

68EA46C931C66F6C7509B118E3C162811A98169C30D4DEF768397DD 
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B8F6526B67142 1 8DEB627E1 1FACA4B9DB268 

3" . 5\ 7 (mod«) = DBFA7F40D338DE4FBA73D42DBF427BBF195 

C13D02ABOFA5F8C8DDB5025E342B2311CEF80BACDCE5DOC433444 

A2AF2B15318G36FE2AE02F3C8CB25637C9AD712F 

3" . 5* . 7'. (mod n) = C60CA9C4A1 1F8AA89D9242CE717E3DC6C1 

A95D5D09A2278F8FEE1DFD94EE84DO9D000EA8633B53C4AOE7F0A 

EECB70509667A3CB052029C94EDF27611FAE286A7 

3^ . 5' . 7\ (mod n) = DE40CB6B41COIE722E4F312AE7205F18CDD 

0303EA52261CBOEA9FOC7E0CD5EC53D42E5CB645B6BB1A3BOOC77 

886F4AC5222F9C863DACA440CF5F1A8E374807AC 

3"* . 5" . 7* . £>" (mod n), c'est-^-dire, 3'^ . 5^ . T . 0"° (mod n) avec les 

exposants en hexa = FFDD736B666F41FB771776D9D50DB7CDF03F3D9 

76471B25C56D3AF07BE692CB1FE4EE70FA77032BECD8411B813B4C 

2 12 10C6B0449CC4292E5DD2BDB00828AF1 8 

On retrouve bien I'engagement R. L'authentification est r^ussie. 

Voici un example pour le second jeu de cl6s. 

D' (mod n) = C66E585D8F132F7067617BC6D00BA699ABD74FB9D13E 
24E6A6692CC8D2FC7B57352D66D34F5273C13F20E3FAA228D70AEC 

693F8395 ACEF9206B 172A8A2C2CCBB 

3 . If (mod n) = 534C61 14D385C3E15355233C5B00D09C2490D1B8D8E 
D3D59213CB83EAD41C309A187519E5F501C4A45C37EB2FF38FBF20 

1D6D138F3999FC1D06A2B2647D48283 

3' . D' (mod n) = A9DC8DEA867697E76B4C18527DFFC49F4658473D03 
4EC1DDE0EB21F6F65978BE477C4231AC9B1EBD93D5D49422408E47 

15919023B16BC3C6C46A92BBD326AADF 

2.3\D' (mod n) f= FB2D57796039DFG4AF9199CAD44B66F257A1FF 

3F2BA4G12BOA8496AO148B4©FBAFE8ii8E0B5A7©aF®'4i94379D72A 

107E45C51FCDB7462D03A35002D29823A2BB5 

2\3\ D* (mod'w) = 4C210F96FF6C77541910623B1E49533206DFB9E91 



6521F305F12C5DB054D4E1BF3A37FA293854DF02B49283B6DE5E5D 
82ACB23DAF1A0D5A721A1890D03A00BD8 

2\ 3\ D' (mod n) = E4632EC4FE4565FC4B3126B15ADBF996149F2D 

BB42F65D911D3851910FE7EA53DAEA7EE7BA8FE9D081DB78B249 

BIB 1 8880616B90D4E280F564E49B270AE02388 

t . r . (mod n) = ED3DDC716AE3D1EA74C5AF935DE814BCC 

2C78B12A6BB29FA542F9981C5D954F53D153B9F0198BA82690EF 

665C17C399607DEA54E218C2C01A890D422EDA16FA3 

2' . 3" . Z>" (mod «) = DA7C64E0E8EDBE9CF823B71AB13F17E1161487 

6BO00FBB473F5FCBF5A5D8D26C7B2A05D03BDDD588164E562DOF5 

7AE94AE0AD3F35C61C0892F4C91DC0B08ED6F 

2'° . 3^' . (mod n) = 6ED6AFC5A87D2DD117BOD89072C99FB9DC9 

5D558F65B6A1967E6207D4ADBBA32001D3828A35069B256A07C3D 

722F17DA30088E6E739FBC419FD7282D16CD6542 

2" . 3^' . E^' (mod n) = DDAD5F8B50FA5BA22F61B120E5933F73B92 

BAAB1ECB6D432CFCC40FA95B77464003A705146A0D364AD40F8 

7AE45E2FB4601 1 1CDCE73F78833FAE505 A2D9ACA84 

2" . 3* . (mod «) = A466DOCB17614EFD961000BD9EABF4F021 

36F8307101882BC1764DBAACB715EFBF5D8309AE001EB5DEDA 

8F000E44B3D4578E5CA55797FD4BD1F8E919BE787BD0 

2« 3U2 ^.2s ^j^^^ = 925B0EDF5047EFEC5AFABDC03A830919761 

B8FBDD2BF934E2A8A31E29B976274D513007EF1269E4638B4F65F 

8FDEC740778BDC178AD7AF2968689B930D5A2359 

3U3 (mod w) = B711D89C03FDEA8D1F889134A4F809B3F2D 
8207F2AD8213D169F2E99ECEC4FE08038900FOC203B55EE4F4C803 

BFB912A04F11D9DB9D076021764BC4F57D47834 

3m ^6 (j^Q^ = 41 A83F1 19FFE4A2F4AC7E5597A5D0BEB4D4C 
08D19E597FD034FE720235894363A19D6BC5AF323D24B1B7FCFD8D 

FCC628021B4648D7EF757A3E461EF0CFF0EA13 



2.76 3452 ^512 ^^^^ g^ji^ 488 9226 ^5.2 ^j^^^ ^ 28AA7F12259BFBA8 
1368EB49C93EEAB3F3EC6BF73B0EBD7D3FC8395CFA1AD7FCOF9D 
AC169-A4F6F1C46FB4C3458D1E37C99123B56446F66928736B17B4BA 

4A529 

On retrouve bien rengagement R. L'authentification est reussie. 
Sigmatoire num^riqiae 

Le mecanisme de signature num^que permet k une entit6 appelee 
sSgmataire de produire des messages sign^s et h line entit6 appelee 
coBitrdkur de verifier des messages signes. Le message M est une sequence 
binaire quelconque : il peut €tre vide. Le message M est signe en lui 
adjoignant un appendice de signature qui comprend un ou plusieiu^ 
engagements et jiou -ddfis, ainsi que lessr^ponses corarespondantes. 
Le contrdleurvdispose de la meme fonction de hachag%'des»parametres k et 
m et du modules. Les paramdtres * et m renseignent-le eantidleur. D'lme 
part, chaque d6fi«:616mentMierde di i4,4oit-prendre«unei V^ h. 2*"'- 

1 (les*valeurs.de*v/2 a v-1 ne sont pas,utilis6es)i D'auteejipaBtrchaque d^fi d 
doit comporter m defis elementaires-notes de k autant^que de nombres 
debase. En ou&e, faute d'indieation-eontrairei les-rn-nombFestde base, de 
ag„, sont les m premiers nombres premiers. Avec (^-l).m valant de 15 a 20, 
on peut signeir avec quatre triplets GQ2 produits en parallele ; avec (Ar-l).m 
valant 60 ou plus, on peut signer avec un seul triplet GQ2. Par exemple, 
avec ;fc= 9 et m = 8, im seul triplet GQ2 suffit ; chaque defi comporte huit 
octets et les nombres de base sont 2, 3, 5, 7, 1 1, 13, 17 et 19. 
L'op^ration de sigmature est une sequence de trois actes : im acte 
d' engagement, un acte de defi et un acte de reponse. Chaque acte produit un 
ou plusieurs triplets GQ2 comprenant chacun : un engagement R 0), un 
defifet/x.omposei»»de«iw 4efisriel6mentajaies^^^^ d„ et une 

reponse D 0). 

Le signataire dispose d'une fonction de hachage, du parametre A: et de la cle 



priv6e GQ2, c'est-a-dire, de la factorisation , du module n selon I'une des 
trois representations 6voqu6es ci-dessus. Am seam di^ sigmataSre, on pemt 
isoler un timoim qini' ex^ ciiate les actes d'emgagement et de r^pomse, de 
maniere a isoler les fonctions et les parametres les plus sensibles du 
demonstrateur. Pour calculer engagements et reponses, le t6moin dispose du 
parametre k et de la cle priv6e GQ2, c'est-a-dire, de la factorisation du 
module n selon Tune des irois representations 6voquees ci-dessus. Le 
t^moin ainsi isole est semblable au t^moin defini au sein du demonstrateur. 
n peut correspondre k une realisation particuliere, par exemple, « une carte 
a puce reli6e a un PC formant ensemble le signataire, ou encore, « des 
programmes particulidrement proteges au sein d'un PC, ou encore, « des 
programmes particulierement proteges au sein d'une carte a puce. 
1) L'acte d'emgagememt comprend les operations suivantes. 
Lorsque le temoin dispose des m valeurs priv6es de Q, a et du module «, 
il tire au hasard et en priv6 un ou plusieurs aleas r (0 < r < n) ; puis, par k 
aevations successives au carre (mod «), il transforme chaque alea r en un 
engagement 

R = r^ (modn) 

Lorsque le temoin dispose des / facteurs premiers de p, k et des m.f 
composantes privees Q,^, il tire au hasard et en prive une ou plusieurs 
collections de/ aleas : chaque coUection comporte un alea r, par facteur 
premier ;7, (0 < r/< p^) ; puis, par k elevations successives au carr6 (mod/?,), 
il transforme chaque alea r, en une composante d'engagement i?,. 

s Vi (mod Pi) 

Pour chaque collection de /composantes d'engagement, le temoin etablit un 
engagement selon la technique des restes chinois. U y a autant 
d'engagements que de collections d' aleas. 

R = Restes Chinois(i2„ . . . R) 
2) L'acte de del5 consiste a hacher tons les engagements R et le message h. 
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signer M pour obtenir un code de hachage a partir duquel le signataire 
forme im ou plusieurs defis compfenant chacun m defis 616inentaires ; 
chaque d6fi 616meiitaire prend une valeur de 0 h v/2-1 ; par exemple, avec 
k=9etm = S, chaque dtfi comporte huit octets. II y a autant de d6fis que 

d' engagements. 

d=d^d^... d^, extraits du r^sultat Hash(Af, R) 
3) L'acte de r^pomse comporte les operations suivantes. 
Lorsque la temoin dispose des m valeurs privees de Q, a Q„ et du module «, 
il calcule une ou plusieurs reponses D en utiUsant chaque al6a r de I'acte 
d'engagement et les valeurs privies selon les d6fis el6mentaires. 

X = Qt'Qi^...Qi^ (modn) 
D^r.X (mod «) 

Lorsque le temoin dispose des / fecteurs premiers de p, kp^et des m.f 
composantes privees g,^, il calcule une ou plusieurs collections de / 
composantes de r6ponse en utilisant chaque collection d'al^as de I'acte 
d'engagement : chaque eoUectionde composantes de reponse comporte une 
composante par facteur premier. 

Xi^Qt}Va}-Qi:i (modp,) 
Di^rfXi (mod Pi) 
Pour chaque collection de composantes de r6ponse, le temoin etablit une 
reponse selon la technique des restes chinois. U y a autant de reponses que 
de de£is. 

D = Restes Chinois(D„ D^, ... D) 
Le sigmataire sigme le message M en lui adjoignant un appendice de 
signature comprenant : 

- ou bien, chaque triplet GQ2, c'est^a-dire. chaque engagement R, chaque 
defi d et chaque r6p©nse D, 

- ou bien, chaque engagement R et chaque reponse D correspondante, 

- ou bien, chaque d6fi d et chaque r6ponse D correspondante. 



Le d^roMeimeiit de Top^iraltnoiii de v^riiBcaitioiii depend du contenu de 
I'appendice de signature. On distingue les trois cas. 

An cas oh I'appemdice compreind ram ora plpsienars triplets, reparation de 
controle comporte deiix processus ind^endants dont la chronologic est 
indifferente. Le controleur accepte le message signe si et seulement si les 
deux conditions suivantes sont remplies. 

D'une part, chaque triplet doit 6tre coherent (une relation appropriee du 
type suivant doit 6tre vdrifi6e) et recevable (la comparaison doit se faire sur 
une valeur non nulle). 

m k 

RjlGf' ^D^' (mod n) oubien R = D^ JJof' (mod n) 

Par exemple, on transforme la reponse D par une sequence d' operations 
elementaires : k carres (mod n) separes par k-l multiplications ou divisions 
(mod n) par des nombies de base. Pour la i ieme multiplication ou division, 
qui s'effectue entre le / ieme carre et le /+1 ieme caire, le / ieme bit du defi 
elementaire indique s'il feut utiliser g„ le / ieme bit du d6fi el^mentaire J, 
indique s'il faut utiliser g^, ... jusqu'au / ieme bit du d6fi eldmentaire d„ qui 
mdique s*il faut utiUser g„. On doit ainsi retrouver chaque engagement R 
present dans I'appendice de signature. 

D'autre part, le ou les triplets doivent etre U6s au message M. En hachant 
tous les engagements R et le message M, on obtient un code de hachage k 
partir duquel on doit retrouver chaque defi d. 

d=d^ d^... identiques k ceux extraits du resultat Hash(M, R) 
An cas oil I'appendice me compremd pas de d6fi, I'operation de controle 
commence par la reconstitution de un ou plusieurs d^fis d' en hachant tous 
les engagements R, et le message Af , 

d' = d\d\... d\, extraits du resultat Hash(M, R) 
Ensuite, le controleur accepte le message signe si et seulement si chaque 
triplet est coherent (une relation appropriee du type suivant est vdrifi6e) et 



recevable (la comparaison se fait sur une valeur non nulle). 

RllGf' ^D^' (modn) oubien R=D^ JJ^^^' (mod n) 



Am cas ou I'appemdice ne compremd- .pas^d'emgagemein^r operation de 
contrdle commence par la reconstitution de un on plusieurs engagements R' 
selon une des deux formules suivantes, celle qui est appropriee. Aucun 
engagement r6tabli ne doit €tre nul. 
R'=D^' /flGf' {mod n) oubien iJ'=D^ -flc?/' (mod «) 

Ensuite, le controleur doit hacher tous les engagements R' etlc message M 
de fa5on a reconstituer chaque d6fis d. 

d = d^ d^... d^, identiques a eeux extraits du r^sultat Hash(M, i? 0 
Le controleur accepte le message signe si et seulement si chaque defi 
reconstitu6 est identique au defi cocrespondant^figuranten appendice. 



Dans la pr6sente demande, on a montr6 qu'il existait des couples de valeurs 
privee Q et pubUque G permettant de mettre en ceuvre le proc6d6, le 
systeme et le dispositif selon I'invention' destin6 k prouver rauthenticit6 
d'une entity et/ou l'integrit6 et/ou rauthenticit6 d'un message. 
Dans la demande pendante deposee le meme jour que la presente demande 
par France Telecom, TDF et la Soci^te Math RiZK et ayant pour inventeurs 
Louis Guillou et Jean-Jacques Quisquater, on a decrit un precede pour 
produire des jeux de cles GQ2, k savoir, des modules n et des couples de 
valeurs pubUque G et priv6e Q dans le cas ou 1' exposal v est 6gal k 2*. EUe 
est incorporee ici par reference* 



Revendication 



1. Procede d'authentification dynaimque d'entilis et de messages associ^s ainsi que de 
signature num&ique de messages mettant ea crovre la tecfanologie OQ ; 

ledit proced6 etant tel qu'il utilise des jeux de cl6$ GQ produits de telle sorte qae : 

- pour chaque nconbre de base gi a g^, I'equation x'' s g.^ (mod n) ou v= 2^ a 
des solutions en x dans Tanneau des entiers modulo n, 

* panni lesnombies qi kq^y aumoins unnombreq^ est non trivial, 

- pamii les 2xm nombres ±gik±gai,iiy^Bn moias unr£sidu quadratique. 

2. Systeme d'authentLGcation dynamique d'entites et de messages associes ainsi que 
de signature numexiqae de messages mettant en oeuvre la technologie GQ ; 

ledit systeme ^tant tel qu'il utilise des jeux de cl6s GQ produits de telle sorte que 

- pour chaque nombre de base gi a g^ Tequation x'' = ^ (mod n) oii v= 2'' a 
des solutions en x dans Tanneau des entiers modulo n» 

- panni les nombres qi aqm aumoinsun nombre qi est mm trivial, 

- pami les 2xm nombres "^gii^gm^ily^A^ moins unr&sidu quadratique. 

3. Proc6d6 pour produire des jeux de selon la tecbnolpgie OQ ; 
ledit proc6d6 ^tant tel que 

- pour chaque nombie de base gi i &« Tiquation x'' s g,^ (mod n) oi v= 2^ a 
des solutions en x dans Tanneau des entiers modulo n, 

^ paimi les nombres qi & qm* ^ moins un nombre qj est non trivial, 

- panni les 2xm nombres ± g] & :t g„ , il y a au moins un r^sidu quadratique. 
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